GitHub-interne Repositories durch schädliche VS Code-Erweiterung kompromittiert

GitHub-interne Repositories durch schädliche VS Code-Erweiterung kompromittiert

Ein GitHub-Mitarbeiter installierte eine schädliche VS Code-Erweiterung — mit der Folge, dass rund 3.800 interne GitHub-Repositories kompromittiert wurden. Die Bedrohungsgruppe TeamPCP bekannte sich zu dem Angriff. Der Vorfall stellt einen Supply-Chain-Angriff auf einen der weltweit bedeutendsten Anbieter von Entwicklerinfrastruktur dar, der nicht über externe Perimeter-Einbrüche, sondern durch das eigene tägliche Werkzeug der Entwickler ausgeführt wurde. Der vollständige Umfang der betroffenen Daten wurde bislang nicht offengelegt.

Einordnung

Der Angriffsvektor — eine Entwicklererweiterung, installiert von einem vertrauenswürdigen Mitarbeiter — ist eine unmittelbare Warnung für jedes Engineering-Team, das auf VS Code und den zugehörigen Extension Marketplace angewiesen ist. Supply-Chain-Angriffe über vertrauenswürdige Toolchains gehören zu den schwierigsten Angriffsarten, die zu erkennen sind, und können umfassenden Zugriff auf Repositories ermöglichen. Teams sollten installierte Erweiterungen auditieren und Least-Privilege-Kontrollen für Entwicklungsumgebungen einführen.