TeamPCP stiehlt 3.800 interne Repositories von GitHub in einer Angriffskette, die im npm von TanStack begann
Die Gruppe TeamPCP hat ein Gerät eines GitHub-Mitarbeiters mit einer manipulierten VS Code-Erweiterung kompromittiert, um etwa 3.800 interne Repositories zu exfiltrieren. Das Unternehmen bestätigt, dass Kundendaten nicht betroffen waren.
GitHub bestätigte am 20. Mai, dass eine kriminelle Gruppe, die als TeamPCP identifiziert wurde und auch als UNC6780 verfolgt wird, ungefähr 3.800 seiner internen Repositories exfiltriert hat, nachdem das Gerät eines Mitarbeiters mit einer manipulierten Version der Nx Console-Erweiterung für Visual Studio Code kompromittiert wurde. Das Unternehmen erklärte, keine Beweise für eine Kompromittierung von Kundenrepositories, Organisationen oder Daten außerhalb der internen Infrastruktur gefunden zu haben, fügte jedoch hinzu, dass die Ermittlungen weiterhin im Gange sind.
Der Angriff ist der vierte dokumentierte Vorfall einer Kampagne von TeamPCP gegen die Lieferkette von Open-Source-Software. Forscher von Phoenix Security beschreiben die Gruppe als spezialisiert auf Open-Source-Sicherheitswerkzeuge und KI-Middleware, wobei frühere Kompromittierungen den Trivy-Scanner von Aqua, KICS von CheckMarx und die Bibliothek LiteLLM betrafen.
Die Kompromittierungskette
Der Ausgangspunkt war der Angriff auf die npm-Lieferkette von TanStack, der am 11. Mai 2026 entdeckt wurde. TeamPCP verwendete drei kombinierte Techniken: das Muster "Pwn Request" über pull_request_target von GitHub Actions, Cache-Poisoning von Actions in Fork-to-Base-Workflows und das Extrahieren von OIDC-Tokens vom Runner zur Laufzeit. Zwischen 19:20 und 19:26 UTC am 11. veröffentlichten die Gruppen 84 bösartige Versionen, die auf 42 Pakete des Namespace @tanstack verteilt waren, unter Verwendung der legitimen OIDC-Identität des Veröffentlichungspipelines des Projekts. Die Pakete bestanden die SLSA-Herkunftskontrollen und trugen gültige signierte Zertifikate, was sie für Werkzeuge, die kryptografische Signaturen überprüfen, von legitimen Versionen ununterscheidbar machte.
Die Kompromittierung breitete sich innerhalb von Stunden auf andere abhängige Repositories aus. Mistral AI, UiPath und mehr als 160 zusätzlich betroffene Pakete in npm und PyPI folgten. Am 18. Mai installierte ein Entwickler des Nx-Teams die Version 18.95.0 der Nx Console-Erweiterung auf seinem Gerät, die etwa 11 bis 18 Minuten vor ihrer Entfernung im VS Code Marketplace erhältlich war. Die kompromittierte Erweiterung sammelte den Zugriffstoken von GitHub des Entwicklers und übertrug ihn an TeamPCP, wodurch der Zugang zur internen Infrastruktur von GitHub eröffnet wurde.
Was kompromittiert wurde und was nicht
GitHub erklärte, dass die Ansprüche des TeamPCP über den Zugang zu etwa 3.800 Repositories "mit der Richtung" der internen Untersuchung des Unternehmens übereinstimmen. Der Inhalt dieser Repositories ist interner Quellcode des Unternehmens, keine Kundendaten. Laut dem Unternehmen gibt es keine Beweise für die Kompromittierung von Kundendaten, die außerhalb der internen Infrastruktur der Plattform gespeichert sind.
TeamPCP kündigte das gestohlene Material an und bot laut Sicherheitsexperten den Code für 50.000 Dollar an, wobei sie drohten, ihn kostenlos freizugeben, wenn es keine Käufer gab. Spätere Berichte deuteten auf einen Kontakt der Gruppe mit LAPSUS$ für einen gemeinsamen Verkauf zu 95.000 Dollar hin. GitHub teilte mit, dass sie Anmeldeinformationen rotieren, den kompromittierten Endpunkt isolieren und die Infrastruktur auf nachfolgende Aktivitäten überwachen.
Was der Vorfall für Unternehmensentwicklungsteams offenbart
Der Angriff definiert das Risikoperimeter für jede Organisation neu, die von von Communities verwalteten IDE-Erweiterungen abhängt. Die bösartige Version der Nx Console war maximal 18 Minuten im VS Code Marketplace aktiv, aber dieser Zeitraum war ausreichend, um das Gerät eines Ingenieurs mit privilegierten Zugriffsrechten auf die internen Repositories einer Plattform mit mehr als 100 Millionen registrierten Entwicklern zu kompromittieren.
Für Sicherheitsteams in IT-Beratungen macht der Vorfall zwei Kontrollen erforderlich, die gewöhnlich außerhalb des Standardumfangs liegen: die Integritätsprüfung von IDE-Erweiterungen – eine Kategorie, die selten in Richtlinien für das Endpoint-Management von Unternehmen enthalten ist – und das Prinzip der geringsten Privilegien bei Zugriffstokens für Versionskontrollsysteme. Entwickler mit Zugriff auf CI/CD-Pipelines und Paketveröffentlichungssysteme stellen einen Kompromittierungsvektor dar, dessen Auswirkungen mit denen von Administratoren produktiver Systeme vergleichbar sind, aber häufig in den Richtlinien für den Zugriffskontrolle unterschiedlich behandelt werden.
Der Abschluss der Untersuchung von GitHub über das gesamte Ausmaß des Vorfalls wird bestimmen, ob TeamPCP Zugang zu Code-Signaturschlüsseln, Pipeline-Geheimnissen oder anderem Material erhalten hat, das zusätzliche Angriffe gegen die upstream Lieferkette der Plattform ermöglichen könnte, wodurch das, was heute als internes Ereignis bestätigt wird, zu einem verteilten Risiko für die gesamte Kundenbasis von GitHub wird.