GitHub heeft bekendgemaakt dat hackers toegang kregen tot interne repositories van het bedrijf. De aanval verliep via een kwaadaardige VS Code-extensie die een medewerker had geïnstalleerd op zijn werkstation. GitHub ontdekte de inbreuk gisteren en handelde snel. Het bedrijf verwijderde de extensie, isoleerde het getroffen apparaat en startte direct een incidentrespons. Op dit moment onderzoekt GitHub de volledige omvang van de aanval.
De hackersgroep TeamPCP staat achter de aanval. Deze groep trof eerder ook bekende techbedrijven. Checkmarx, Trivy, SAP, TanStack en Bitwarden werden eerder al doelwit van aanvallen door dezelfde groep. Nu proberen de hackers de buitgemaakte GitHub-code te verkopen op cybercriminelenforums. Zij claimen dat zij zo’n 3.800 repositories hebben gestolen. GitHub bevestigt dat dit getal overeenkomt met de bevindingen van het eigen onderzoek.
Ondanks de inbreuk heeft GitHub geen bewijs van gelekte klantgegevens gevonden. De aanval trof alleen interne GitHub-repositories. Klantdata buiten de interne systemen bleef veilig, aldus het bedrijf. Of GitHub contact heeft met de hackers of een losgeldbetaling ontving, is nog niet bekend. Het onderzoek loopt nog en het bedrijf houdt de situatie nauwlettend in de gaten.
Dit incident laat zien hoe gevaarlijk kwaadaardige extensies voor bedrijven zijn. Aanvallers richten zich steeds vaker op vertrouwde ontwikkeltools zoals VS Code. Zelfs grote techbedrijven zijn kwetsbaar voor één besmet apparaat. Ontwikkelaars moeten extensies alleen installeren vanuit betrouwbare en geverifieerde bronnen. Bedrijven moeten werkstations actief monitoren om dit soort aanvallen vroeg te detecteren.
