GitHub zegt dat aanvallers via een kwaadaardige extensie voor Visual Studio Code toegang hebben gekregen tot interne repositories van het platform. Volgens het bedrijf zijn er vooralsnog geen aanwijzingen dat klantgegevens of privérepositories zijn getroffen, maar de omvang van het incident zorgt wel voor onrust onder ontwikkelaars.
GitHub meldde op X: “Wij onderzoeken ongeautoriseerde toegang tot interne repositories van GitHub. Op dit moment hebben we geen aanwijzingen dat klantinformatie buiten die interne repositories is geraakt, zoals enterprise-omgevingen, organisaties of repositories van klanten. Wel monitoren we onze infrastructuur nauwlettend op mogelijke vervolgactiviteiten.”
Later maakte het platform bekend dat een poisoned VS Code-extensie vermoedelijk de ingang vormde voor de aanval. GitHub zegt momenteel logbestanden te analyseren, toegangsgegevens te vervangen en aanvullende monitoring uit te voeren om vervolgactiviteiten van aanvallers op te sporen. Dit schrijft DevClass.
Claims over duizenden repositories
Volgens GitHub sluiten claims van de aanvallers over ongeveer 3.800 buitgemaakte repositories aan bij de eerste onderzoeksresultaten. Mogelijk gaat het om dezelfde groep die in verband wordt gebracht met de Shai-Hulud-malwarecampagne. Die malware circuleert al langer binnen het npm-ecosysteem en wordt gekoppeld aan meerdere aanvallen op ontwikkelomgevingen.
Online verschenen berichten waarin de aanvallers claimen interne GitHub-broncode te koop aan te bieden. Daarbij wordt gesproken over circa 4.000 repositories. De groep zou hebben aangegeven de code openbaar te maken als er geen koper wordt gevonden. Zulke uitspraken zijn op dit moment niet onafhankelijk bevestigd.
Onder ontwikkelaars leeft vooral de vraag of de aanval beperkt blijft tot interne GitHub-systemen of dat ook klantomgevingen risico lopen. Wanneer aanvallers via gestolen credentials langdurige toegang hebben gekregen, kan dat op termijn gevolgen hebben voor commerciële code, secrets en andere gevoelige gegevens.
Securityspecialisten wijzen er al langer op dat ontwikkelaars soms nog steeds wachtwoorden, API-sleutels of tokens opslaan in repositories. Dat gebeurt ook in privérepositories, ondanks het risico dat zulke gegevens later alsnog uitlekken.
De aanval volgt bovendien op een reeks eerdere beveiligingsproblemen rond GitHub en het bredere software-ecosysteem. Vorige maand meldde Wiz Research nog een kwetsbaarheid voor remote code execution in GitHub.com en GitHub Enterprise Server. Onderzoekers noemden het lek destijds eenvoudig uit te buiten.
Kritiek op GitHub groeit
Het incident voedt ook de bredere kritiek op GitHub. Het platform kreeg de afgelopen maanden al te maken met aanvallen via npm-pakketten die aan Shai-Hulud-gerelateerde code worden gekoppeld. Critici vinden dat GitHub onvoldoende heeft ingegrepen, ondanks eerdere signalen over misbruik.
Daarnaast klagen ontwikkelaars over stabiliteitsproblemen en de impact van AI-scrapers die publieke repositories massaal uitlezen voor het trainen van AI-modellen. Mede daardoor verklaarde HashiCorp-oprichter Mitchell Hashimoto onlangs dat GitHub volgens hem “niet langer geschikt is voor serieus ontwikkelwerk”.
Tegelijkertijd groeit de belangstelling voor alternatieven die meer controle bieden over codeopslag en infrastructuur. Daarbij worden onder meer Forgejo en het daarop gebaseerde Codeberg genoemd.
GitHub heeft aangekondigd later met een uitgebreider onderzoeksrapport te komen zodra het interne onderzoek is afgerond.