GitHub hat bestätigt, dass ein Gerät eines Mitarbeiters mit einer bösartigen Erweiterung von Visual Studio Code die Exfiltration von Hunderten oder Tausenden von internen Repositories erlaubt; die Figur, die zirkuliert - um 3.800 interne Repositorys- fällt "direktional" mit der internen Bewertung, die das Unternehmen bisher getan hat. GitHub sagt, dass es die vergiftete Version der Erweiterung des Marktplatzes entfernte, den betroffenen Endpunkt isolierte und die Reaktion auf Vorfälle initiierte, und im Moment hat keine Beweise gefunden, dass Kundendaten außerhalb dieser internen Repositorien beeinträchtigt wurden ( GitHubs Erklärung)
Parallel dazu hat ein Schauspieler, der als TeamPCP identifiziert wird, angebliche Muster der Beute veröffentlicht und versucht, den Verkauf von Daten in kriminellen Foren zu verhandeln, eine Taktik, die wir bereits mit Angriffen auf die Software-Versorgungskette gesehen haben. Diese Episode zeigt wieder zwei gleichzeitige Realitäten: Die Entwicklungstools sind jetzt ein hochauflösender Angriffsvektor und die Angreifer nutzen weiterhin das Vertrauen, das die Teams in Drittanbietererweiterungen und Ergänzungen setzen.
VS Code-Erweiterungen sind sehr nützlich für Entwickler, aber auch gefährlich, wenn sie Gewinde sind: in den letzten Jahren haben mehrere Fälle von Plugins mit Millionen von Downloads erschienen, die Anmeldeinformationen, gefilterte lokale Dateien oder implementierte Malware als Kryptomineros. Dass eine einzige böswillige Erweiterung den Weg zur Exfiltration von internen Repositories öffnen kann, bestätigt, dass die Angriffsfläche nicht nur der Code selbst ist, sondern die Werkzeuge, mit denen Sie arbeiten. Um zu verstehen, wie das Ökosystem funktioniert und die zu ergreifenden Vorkehrungen, Microsoft hält offizielle Dokumentation der Marketing und Erweiterungen in VS Code ( VS Code Market Dokumentation)
Welche praktischen Konsequenzen hat dies für Unternehmen und Entwickler? Kurzfristig muss jede Organisation mit direkten Integrationen oder Abhängigkeiten der betroffenen Repositorys Risiken eingehen: Eigentumscode, Bereitstellungsskripte, eingebettete Token oder interne Dokumentation könnten beeinträchtigt werden. Obwohl GitHub die Intrusion noch nicht öffentlich zuschreibt oder den vollen Umfang bestätigt, prudence zwingt diesen Vorfall als ernste Sicherheitslücke behandelt und unverzüglich handeln.
Operationelle Empfehlungen, die bereits umgesetzt werden sollten: Überprüfen und Verdrehen von Anmeldeinformationen und Token mit Zugang zu internen Repositorien und verwandten Systemen; Audit GitHub Aufzeichnungen und Netzwerkprotokolle zur Identifizierung von Klonen, atypischen Zugriffen oder Massenübertragungen; zwingen Sie die Regeneration von persönlichen und Service-Schlüsseln, wenn es Zweifel gibt; und halten Sie die Endpunkte, die mit EDR-Lösungen oder forensic-Analyse betroffen sind isoliert und analysiert. GitHub bietet Tools und Dokumentationen für Tokenmanagement, Audit-Aufzeichnungen und geheimes Scannen, die in diese Prozesse einbezogen werden sollten ( tokens management in GitHub)
Mittel- und langfristig sollten Organisationen die Kontrolle über die Entwicklungsumgebung erhöhen: Erweiterungs-Installationsrichtlinien (allowlist / denylist) umsetzen oder lokale Anlagen in Maschinen untersagen, die Zugang zu kritischen Repositorien haben; Entwicklungsumgebungen auf isolierte Container oder Schreibtische verschieben; das Prinzip des kleinen Privilegs in Tokens und Repository-Zulassungen anwenden und das Scannen von Geheimnissen in Commits und Artefakten automatisieren. Darüber hinaus ist es unerlässlich, IDE und Endpunkttelemetrie mit internen Detektionssystemen zu integrieren, um seltsame Verhaltensweisen von Erweiterungen und Prozessen zu erkennen.
Für einzelne Entwickler ist die praktische Empfehlung extrem vorsichtig: Installieren Sie nur Erweiterungen von Editoren, die von verifizierten Autoren gut gepflegt werden, überprüfen Sie den Quellcode der Erweiterung, wenn möglich, überprüfen Sie, welche Berechtigungen Sie anfordern und bevorzugen Anwendungen in isolierten Umgebungen bei der Arbeit mit empfindlichen Repositories. Die Community und Lieferanten müssen mehr Sicherheit im Markt verlangen: Erweiterungssignaturen, strengere automatisierte Validierung und Transparenz auf den Einheiten und Telemetrie der Plugins.
Dieser Vorfall erinnert daran, dass die Sicherheit der modernen Software die Sicherheit der Werkzeuge umfasst, die sie produzieren. Unternehmen, Plattformanbieter und Entwickler haben unterschiedliche, aber komplementäre Rollen: Plattformen müssen die Überprüfung und den Vertrieb von Erweiterungen verschärfen, und Organisationen müssen davon ausgehen, dass die Aufgabe des Entwicklers ein kritisches Gut ist, das Kontrollen so streng erfordert, wie sie auf Produktionsinfrastrukturen angewendet werden. Für diejenigen, die sich vertiefen wollen, wie man Risiken in der Software-Versorgungskette abmildern kann, ist es angebracht, spezialisierte Ressourcen und Community-Führer zur Verfestigung von Lieferketten zu lesen (z.B. öffentliche Projekte und Empfehlungen in der OWASP- und Lieferantensicherheitsdokumentation). OWASP - Lieferkettenangriffe.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...