GitHub heeft bevestigd dat hackers duizenden interne repositories stalen via een kwaadaardige VS Code-extensie. Een medewerker installeerde de malafide plugin op zijn apparaat. Aanvallers kregen zo een voet aan de grond in GitHub’s interne systemen. GitHub detecteerde het incident snel en verwijderde de extensie uit de VS Code Marketplace. Ook isoleerde het bedrijf het getroffen apparaat direct.
De hackersgroep TeamPCP publiceerde de claim eerder deze week op het cybercrimeforum Breached. Zij beweren bijna 4.000 privérepositories te hebben buitgemaakt. De gestolen data bevat naar eigen zeggen broncode en andere vertrouwelijke informatie. De groep vraagt minimaal 50.000 dollar voor de gestolen gegevens. TeamPCP wil de data verkopen, niet GitHub afpersen. Als er geen koper verschijnt, dreigen zij alles publiek te maken.
GitHub bevestigt dat de claims over 3.800 repositories overeenkomen met de eigen bevindingen. Het bedrijf heeft kritieke wachtwoorden en toegangssleutels al gereset. Er is geen bewijs dat aanvallers toegang hadden tot klantgegevens of het bredere platform.
VS Code-extensies zijn uitvoerbare plugins met brede toegang tot bestanden, terminals en authenticatietokens. Developers installeren ze routinematig voor debugging, automatisering en AI-hulp. Hackers verstoppen malware steeds vaker in ogenschijnlijk legitieme ontwikkelaarstools. TeamPCP stond eerder al in verband met aanvallen op PyPI, npm en Docker. Dit incident toont hoe gevaarlijk ongecontroleerde extensies zijn voor grote technologiebedrijven.
