GitHub: Schädliche VS-Code-Erweiterung kompromittierte ~3.800 interne Repos

Am 20. Mai 2026 veröffentlichte GitHub Details zu einem Sicherheitsvorfall, der zwei Tage zuvor entdeckt worden war: Ein unbekannter Angreifer griff auf rund 3.800 interne GitHub-Repositories zu, nachdem eine manipulierte VS-Code-Erweiterung eines Drittanbieters das Gerät eines Mitarbeiters infiziert hatte. Das Unternehmen führt die Untersuchung gemeinsam mit externen Forensikspezialisten durch und betont, dass keine Hinweise auf eine Kompromittierung von Nutzerdaten auf der GitHub-Plattform selbst vorliegen.

Wie konnte der Angriff gelingen?

Laut GitHubs Mitteilung wurde die Erweiterung über den VS Code Marketplace (Microsofts Registry) veröffentlicht und von einem Mitarbeiter als normales Workflow-Tool installiert. Nach der Installation extrahierte die Erweiterung Entwickler-Credentials vom Gerät — wahrscheinlich OAuth-Token, SSH-Schlüssel oder gecachte Git-Credentials — und ermöglichte dem Angreifer die Authentifizierung gegen GitHubs interne Systeme außerhalb des VPNs.

Der Angriffsvektor ist die Software-Supply-Chain, identisch mit dem, der in den letzten Jahren npm, PyPI und RubyGems belastet hat — nur auf IDE-Erweiterungsebene statt bei Runtime-Paketmanagern. Der VS Code Marketplace umfasst über 50.000 Erweiterungen, und sein Verifizierungsprozess galt bisher nicht als zentrale Verteidigungslinie.

Worauf hat der Angreifer zugegriffen?

Der Angreifer behauptete in einem Hackerforum-Post, auf ~3.800 interne GitHub-Repositories zugegriffen zu haben, was GitHubs Untersuchung als konsistent mit eigenen Erkenntnissen bewertet. Einige interne Repositories enthalten Kundensupport-Snippets sowie interne Build-, Infrastruktur- und Testing-Artefakte. Die produktive Nutzerbasis (Code, Issues, Pull Requests) ist laut aktueller Untersuchung nicht betroffen.

GitHub isolierte sofort den Mitarbeiter-Endpunkt, startete eine Notfall-Rotation der Credentials mit Produktionsschlüsseln als erste Priorität und aktivierte kontinuierliches Monitoring der internen Systeme auf verdächtige Muster.

Welche Folgen hat dies für KI-Coding-Tools?

Der Vorfall ereignet sich zu einem Zeitpunkt, da KI-Coding-Agenten (Claude Code, Copilot Agent Mode, Cursor, Windsurf) aggressiv Erweiterungen und MCP-Server integrieren, um ihre Fähigkeiten zu erweitern. Jede installierte Erweiterung oder jeder MCP-Server wird zum neuen Angriffsvektor mit Zugriff auf Entwickler-Credentials. Tooling, das im selben Prozess wie die IDE läuft, hat oft dieselben Berechtigungen wie der Benutzer selbst.

GitHub kündigt einen vollständigen Post-Mortem nach Abschluss der Untersuchung an und ruft die Entwicklergemeinschaft zu strengeren Standards für Erweiterungs-Publisher auf — darunter Pflicht-Code-Signing, Runtime-Sandboxing und explizite Berechtigungen für den Credential-Zugriff, die der VS Code Marketplace derzeit nicht vorschreibt.