GitHub bevestigt inbreuk op 3.800 repo's via geïnfecteerde VS Code-extensie

GitHub heeft te maken met een ernstig intern beveiligingslek. Het bedrijf bevestigde op 20 mei 2026 dat hackers het apparaat van een medewerker hebben gecompromitteerd via een vergiftigde VS Code-extensie. Ze kregen ongeautoriseerde toegang tot ongeveer 3.800 interne repositories. 

GitHub handelde snel door het apparaat te isoleren, de kwaadaardige extensie te verwijderen en kritieke inloggegevens binnen enkele uren na detectie te roteren. Belangrijk is dat het bedrijf stelt dat er momenteel geen bewijs is van impact op klantgegevens, zakelijke accounts of gebruikersrepositories. Het GitHub-nieuws van vandaag is een wake-upcall voor elke ontwikkelaar met API-sleutels opgeslagen in privérepo's.

Hoe de aanval plaatsvond

De aanvalsvector was bedrieglijk eenvoudig. Een dreigingsactor verborg malware in een VS Code-extensie. Een GitHub-medewerker installeerde de vergiftigde versie. Daarvandaan kreeg de aanvaller toegang tot het apparaat van de medewerker en begon data uit interne repositories te exfiltreren.

GitHub bevestigde de tijdlijn rechtstreeks in een openbare thread. "Gisteren hebben we een compromittering van een medewerkerssapparaat gedetecteerd en ingeperkt, waarbij een vergiftigde VS Code-extensie betrokken was," aldus het bedrijf. "We hebben de kwaadaardige extensieversie verwijderd, het eindpunt geïsoleerd en onmiddellijk begonnen met incidentrespons."

Dreigingsgroep TeamPCP heeft sindsdien de verantwoordelijkheid opgeëist op underground cybercrimineforums. De groep beweert gegevens te hebben verkregen uit ongeveer 4.000 privérepositories. Dit omvat bedrijfseigen platformbroncode en interne organisatiebestanden, en er wordt gemeld dat men probeert de dataset te verkopen voor meer dan $50.000. GitHub heeft vastgesteld dat de bewering van de aanvaller van ongeveer 3.800 repositories "richtinggevend consistent" is met de bevindingen van het onderzoek tot nu toe.

Reactie van GitHub

De reactie op het beveiligingslek verliep op meerdere fronten tegelijk. GitHub roteerde kritieke geheimen op dezelfde dag als de detectie, met prioriteit voor de inloggegevens met de grootste impact. Het beveiligingsteam isoleerde het getroffen eindpunt onmiddellijk. Analisten onderzoeken continu logs op eventuele vervolgactiviteiten. Daarnaast heeft de marketplace de kwaadaardige VS Code-extensieversie uit de circulatie verwijderd. GitHub heeft toegezegd een uitgebreider rapport te publiceren zodra het onderzoek is afgerond. Ze hebben beloofd klanten te informeren via gevestigde incidentresponskanalen als er klantimpact wordt ontdekt.

Reactie van de industrie

De bredere ontwikkelaarsgemeenschap reageerde snel. Binance-oprichter CZ gaf een direct advies aan zijn publiek. "Als je API-sleutels in je code hebt, zelfs in privérepo's, is dit het moment om ze te controleren en te wijzigen," postte hij, waarmee hij het nieuws over het GitHub-beveiligingslek verspreidde onder miljoenen ontwikkelaars wereldwijd. Dat advies is niet uit voorzorg. Het is urgent. Ontwikkelaars slaan regelmatig API-sleutels, authenticatietokens en servicereferenties op in privérepositories, in de veronderstelling dat ze veilig zijn voor blootstelling.

Het grotere plaatje voor ontwikkelaars

Nieuws over een beveiligingslek van deze omvang bij GitHub heeft buitenproportionele implicaties. Dit komt omdat GitHub meer dan 100 miljoen repositories host en fungeert als de primaire code-infrastructuur voor het wereldwijde ontwikkelaarsecosysteem. Een inbreuk gericht op interne repositories, zelfs zonder blootstelling van klantgegevens, onthult dan ook het enorme aanvalsoppervlak dat supply chain-bedreigingen vertegenwoordigen.

Voor ontwikkelaars zijn drie directe acties van belang. Ten eerste, roteer alle API-sleutels die zijn opgeslagen in repositories, zowel privé als openbaar. Ten tweede, controleer de extensielijsten in VS Code en verwijder alles wat niet geverifieerd is. Tot slot, schakel het scannen van repositorygeheimen in om blootgestelde inloggegevens automatisch te detecteren. Hoewel het onderzoek nog gaande is, is de transparantie van GitHub gedurende het hele proces opmerkelijk geweest. Het uitgebreidere rapport, wanneer gepubliceerd, zal essentiële lectuur zijn voor elk beveiligingsteam in de technologiesector.

The post GitHub Confirms Breach of 3,800 Repos via Poisoned VS Code Extension  appeared first on Coinfomania.