GitHub bevestigt hack: kwaadaardige extensie compromitteert apparaat medewerker

In dit artikel:

GitHub onderzoekt een mogelijk groot beveiligingsincident nadat een apparaat van een medewerker dinsdag werd gecompromitteerd via een kwaadaardige extensie voor Visual Studio Code. Het bedrijf maakte de ontdekking woensdag bekend en zegt tot nu toe geen bewijs te hebben dat klantgegevens uit interne systemen zijn buitgemaakt. GitHub heeft de schadelijke extensie verwijderd, het getroffen apparaat geïsoleerd en een incidentrespons opgestart, en houdt de infrastructuur nauwlettend in de gaten op eventuele vervolgactiviteiten.

Kort na de bekendmaking claimde hackergroep TeamPCP verantwoordelijkheid en stelde dat ongeveer 4.000 privérepositories met interne code zijn buitgemaakt en te koop worden aangeboden. GitHub heeft die aantijgingen nog niet bevestigd. SecurityWeek beschrijft TeamPCP als een geavanceerde groep die gericht ontwikkelaarstools misbruikt om inloggegevens en data te stelen voor financieel gewin.

De mogelijke omvang van de aanval heeft wijdere onrust in de techniekwereld veroorzaakt. Changpeng Zhao, oprichter van cryptobeurs Binance, riep ontwikkelaars op direct hun beveiligingsgegevens te controleren en API-sleutels die in code (zelfs in privérepositories) zijn opgeslagen onmiddellijk te wijzigen. API-sleutels geven toepassingen toegang tot externe diensten; bij uitlekken kunnen accounts, databases of betaalplatformen misbruikt worden.

Het incident bij GitHub volgt kort op een soortgelijke aanval bij Grafana Labs, waar aanvallers toegang kregen tot GitHub-repositories, delen van de code downloadden en vervolgens met publicatie dreigden om losgeld te eisen. Grafana gaf aan niet op de eisen te zijn ingegaan.

De timing is opvallend omdat op 28 april een kritieke GitHub-kwetsbaarheid (CVE-2026-3854) openbaar werd gemaakt; die kwetsbaarheid maakte het mogelijk voor geauthenticeerde gebruikers om op afstand commando’s uit te voeren op servers. Onderzoekers waarschuwden destijds dat miljoenen repositories mogelijk betroffen waren. Of er een verband is tussen die kwetsbaarheid en de huidige inbreuk is nog onduidelijk.

Beveiligingsexperts wijzen erop dat aanvallen op de softwaretoeleveringsketen — waarbij hackers ontwikkelaarstools, plug-ins of leveranciers compromitteren om via één zwakke schakel grotere systemen binnen te dringen — toenemen. Omdat platforms als GitHub veel broncode, toegangssleutels en bedrijfsgegevens herbergen, zijn ze aantrekkelijke doelen. Advies aan organisaties en ontwikkelaars omvat onder meer het inschakelen van multifactor-authenticatie, striktere controle en monitoring van externe extensies, en het veilig beheren en rotatie van geheime sleutels en API-credentials.