GitHub onderzoekt een mogelijk groot beveiligingsincident nadat een apparaat van een medewerker werd gehackt via een schadelijke extensie voor Visual Studio Code. Dat maakte het ontwikkelaarsplatform woensdag bekend.
Volgens GitHub zijn er momenteel geen aanwijzingen dat klantgegevens buiten de interne systemen zijn buitgemaakt. Wel houdt het bedrijf de infrastructuur nauwlettend in de gaten vanwege mogelijke vervolgactiviteiten van hackers.
GitHub is wereldwijd een van de grootste platforms voor softwareontwikkelaars en wordt gebruikt voor het opslaan en beheren van broncode en softwareprojecten.
GitHub ontdekt aanval via kwaadaardige VS Code-extensie
De aanval werd dinsdag ontdekt nadat een apparaat van een medewerker bleek te zijn gecompromitteerd via een besmette extensie voor Visual Studio Code, een populaire programmeeromgeving van Microsoft.
GitHub zegt direct maatregelen te hebben genomen om verdere schade te voorkomen. “De schadelijke extensie is verwijderd, het apparaat is geïsoleerd en wij zijn onmiddellijk gestart met de incidentafhandeling”, aldus het bedrijf in een verklaring.
Het platform onderzoekt momenteel of hackers toegang hebben gekregen tot interne repositories of andere gevoelige systemen.
Hackergroep TeamPCP eist verantwoordelijkheid op
Kort na de bekendmaking claimde hackergroep TeamPCP verantwoordelijk te zijn voor de aanval. Volgens de groep zijn ongeveer 4.000 privérepositories met interne code van GitHub buitgemaakt.
Repositories zijn digitale opslagplaatsen waarin ontwikkelaars softwarecode en projectbestanden bewaren. In sommige gevallen kunnen daarin ook gevoelige gegevens of toegangssleutels opgeslagen zijn.
TeamPCP zou de gestolen gegevens inmiddels online proberen te verkopen. GitHub heeft deze claims vooralsnog niet bevestigd.
Cybersecuritywebsite SecurityWeek omschrijft TeamPCP als een geavanceerde hackergroep die gecompromitteerde ontwikkelaarstools gebruikt om inloggegevens en data te stelen voor financieel gewin.
Binance-oprichter waarschuwt ontwikkelaars
De mogelijke omvang van het incident zorgt voor onrust binnen de techsector. Changpeng Zhao, oprichter van cryptobeurs Binance, waarschuwde ontwikkelaars om direct hun beveiligingsgegevens te controleren.
“Als je API-sleutels in je code hebt opgeslagen, zelfs in privérepositories, dan is dit het moment om ze onmiddellijk te wijzigen”, schreef Zhao.
API-sleutels geven software toegang tot externe diensten en systemen. Wanneer zulke sleutels uitlekken, kunnen hackers mogelijk toegang krijgen tot accounts, databases of betaalplatformen.
Grafana Labs eerder deze week ook getroffen
De aanval op GitHub volgt kort op een vergelijkbaar incident bij Grafana Labs. Het open source-bedrijf maakte dinsdag bekend slachtoffer te zijn geworden van een aanval op de toeleveringsketen.
Bij dat incident kregen aanvallers toegang tot GitHub-repositories en downloadden zij delen van de codebase van het bedrijf. Vervolgens probeerden de hackers losgeld af te persen onder dreiging van openbaarmaking van de gegevens.
Grafana Labs liet weten niet op de eisen van de aanvallers te zijn ingegaan.
Kritieke GitHub-kwetsbaarheid recent openbaar gemaakt
De timing van het incident is opvallend. Op 28 april werd namelijk een kritieke kwetsbaarheid in GitHub openbaar gemaakt, geregistreerd onder de code CVE-2026-3854.
Met deze kwetsbaarheid konden geauthenticeerde gebruikers op afstand willekeurige commando’s uitvoeren op GitHub-servers. Onderzoeksbedrijf Wiz Research meldde destijds dat miljoenen publieke en private repositories mogelijk toegankelijk waren op getroffen systemen.
Of er een verband bestaat tussen deze kwetsbaarheid en de recente hack is nog niet duidelijk.
Supply-chain-aanvallen vormen groeiende dreiging
Cybersecurityspecialisten waarschuwen al langer voor de toename van aanvallen op de softwaretoeleveringsketen. Daarbij richten hackers zich op softwaretools, plug-ins of externe leveranciers om via één zwakke schakel toegang te krijgen tot grotere systemen.
Vooral ontwikkelaarsplatformen zoals GitHub vormen aantrekkelijke doelwitten vanwege de grote hoeveelheid broncode, toegangsgegevens en bedrijfsinformatie die daar wordt opgeslagen.
Experts adviseren bedrijven daarom om extra beveiligingsmaatregelen te nemen, waaronder multifactor-authenticatie, strengere controle van externe extensies en het veilig beheren van geheime sleutels en wachtwoorden.
Het bericht GitHub bevestigt hack: kwaadaardige extensie compromitteert apparaat medewerker verscheen eerst op Newsbit.