GitHub berichtet, dass ein Hacker Code aus etwa 3.800 internen Repositories gestohlen hat, nachdem er ein schädliches Plugin auf dem Computer eines Mitarbeiters platziert hatte. Dies sorgt in der Krypto-Branche für große Sorgen bezüglich der Sicherheit von im Code gespeicherten API-Schlüsseln.
Binance-Gründer Changpeng Zhao riet Entwicklern, jedes Projekt auf versteckte Schlüssel zu überprüfen und diese auszutauschen. Er warnte, dass selbst private Repositories jetzt wie offengelegt behandelt werden sollten.
Was das Unternehmen mitgeteilt hat
GitHub erklärte, dass der Vorfall begann, als ein Mitarbeiter eine schädliche Version einer VS-Code-Erweiterung installierte. Diese kleine Erweiterung für einen Code-Editor wird von Millionen von Entwicklern weltweit genutzt.
Das Unternehmen isolierte den betroffenen Computer, entfernte die schadhafte Erweiterung und begann noch in der Nacht damit, kritische Passwörter zu ersetzen. Die Zugangsdaten mit dem höchsten Risiko wurden zuerst ausgetauscht.
Bisher deutet die Untersuchung darauf hin, dass der Hacker nur Code aus den internen Repositories von GitHub heruntergeladen hat. Kundenprojekte, Organisationen und Konten zeigen bislang keine Hinweise auf Auswirkungen.
GitHub sagte, die Anzahl der angegriffenen Repositories, etwa 3.800, stimmt mit den eigenen Erkenntnissen des Teams überein. Ein ausführlicher Bericht soll folgen, sobald die Untersuchungen abgeschlossen sind.
Warum Krypto-Entwickler besonders aufmerksam sind
In der Krypto-Branche kann ein offengelegter API-Schlüssel ein Handelskonto innerhalb von Minuten leeren. Viele Schlüssel ermöglichen außerdem den Zugriff auf Wallets, Verwahrungstools oder Exchange-Bots. Deshalb hat CZ seine Follower schnell gewarnt.
Die Branche wurde bereits mehrfach getroffen. Ein Vorfall beim Infrastrukturanbieter Vercel Anfang dieses Jahres zwang Teams dazu, Schlüssel auszutauschen. Das 3Commas-Datenleck im Jahr 2022 legte etwa 100.000 Nutzerschlüssel offen.
Ein weiterer Angriff auf die Lieferkette beim Passwortmanager Bitwarden führte dazu, dass Wallet-Seeds und Entwickler-Token gestohlen wurden. Die entwendeten Daten wurden anschließend in GitHub-Repositories versteckt.
Entwickler speichern private Schlüssel häufig im Code, in Build-Skripten oder versteckten Konfigurationsdateien, da sie davon ausgehen, dass niemand außerhalb des Unternehmens darauf zugreifen kann. Der Vorfall bei GitHub zeigt jedoch, dass interne Systeme ebenso wie öffentliche kompromittiert werden können.
GitHub teilte mit, dass das Team weiterhin die Protokolle auswertet. Es sollte in den nächsten Tagen klarer werden, ob sich in den gestohlenen Repositories Code oder Geheimnisse befinden, die mit Krypto-Infrastruktur im Zusammenhang stehen.
