18 Minuten für den Einbruch: Wie ein VS-Code-Plugin GitHub kompromittierte
Es ist ein Szenario, das die Abgründe moderner Softwareentwicklung offenbart: Die Hacker-Gruppe TeamPCP brauchte nur winzige 18 Minuten, um einen der am besten gesicherten Tech-Konzerne der Welt zu kompromittieren. Wie GitHub nun offiziell bestätigte, wurde der Einbruch in interne Repositories durch ein vergiftetes VS-Code-Extension verursacht. Betroffen war die beliebte Erweiterung "Nx Console" (nrwl.angular-console), die von einem kompromittierten Entwickler-Rechner manipuliert wurde.
Die Dominoeffekte der TanStack-Attacke
Der Vorfall ist kein isoliertes Ereignis, sondern das Resultat einer gefährlichen Kettenreaktion. Wie das Nx-Team erklärte, wurde das System eines ihrer Entwickler im Zuge der kürzlichen TanStack-Supply-Chain-Attacke gehackt. Denselben Angriffsvektor hatten bereits OpenAI, Mistral AI und Grafana Labs ins Visier genommen. Ein einmal gekapertes Entwickler-Tool führte also direkt zum Diebstahl von Zugangsdaten, mit denen die Täter wiederum das Nx-Extension-Repository infiltrieren konnten.
Die Konsequenz: Rund 3.800 interne GitHub-Repositories wurden exfiltriert. GitHub-CISO Alexis Wales betonte zwar, dass es keine Hinweise auf eine Kompromittierung von Kundendaten außerhalb der internen Repos gebe – räumte aber ein, dass diese internen Repos durchaus Kundendaten wie Ausschnitte aus Support-Tickets enthalten könnten.
Das 18-Minuten-Fenster und die MCP-Tarnung
Das najbardziej Faszinierende und zugleich Beängstigende an diesem Angriff ist das Zeitfenster. Die trojanisierte Version der Nx Console war lediglich 18 Minuten lang – zwischen 12:30 und 12:48 Uhr UTC am 18. Mai 2026 – im Visual Studio Marketplace verfügbar. Doch diese kurze Zeitspanne reichte aus.
Laut Nir Zadok von OX Security sah die Erweiterung nach der Installation völlig normal aus. Im Hintergrund jedoch führte sie beim Start einen versteckten Shell-Befehl aus, der ein Schadpaket von einem platzierten Commit im offiziellen GitHub-Repository von Nx herunterlud und ausführte. Der Befehl war als routinemäßiger MCP-Setup-Task getarnt – ein cleverer Schachzug, da Model Context Protocol (MCP) aktuell ein branchenweiter Standard ist und solche Tasks in Entwickler-Workflows wenig Misstrauen erregen.
Die Malware selbst war ein hochaggressiver Credential Stealer. Sie griff tief in die Infrastruktur der Entwickler ein und saugte Daten aus 1Password-Vaults, Anthropic Claude Code-Konfigurationen, npm-Zugangsdaten sowie GitHub- und AWS-Credentials ab. Mit diesen Schlüsseln ließ sich der Kreislauf der Kompromittierung nahtlos fortsetzen.
Das Auto-Update-Paradox
Dieser Vorfall zwingt uns, ein grundlegendes Paradigma der modernen Entwicklerwerkzeuge zu hinterfragen: die Auto-Updates. Raphael Silva von Aikido Security bringt es auf den Punkt: Jeder populäre Extension-Marketplace – sei es in VS Code, Cursor oder anderen Editoren – kommt standardmäßig mit aktiviertem Auto-Update. Die Logik dahinter ist nachvollziehbar, da Entwickler manuelle Updates selten durchführen und veraltete Software ein massives Sicherheitsrisiko darstellt.
Doch Silva deckt die Kehrseite auf: "Auto-Update gibt einem Angreifer, der ein Release kontrolliert, einen direkten Push-Kanal auf jede Maschine, die diese Erweiterung nutzt." Es gibt keine Review-Gate und keine Wartezeit zwischen der Veröffentlichung eines Updates und der Installation auf den Clients. Der Visual Studio Marketplace fungierte in diesem Fall als Verteilungsnetzwerk für Malware – vollautomatisch und ohne menschliche Zwischenkontrolle.
Strukturelle Schwachstellen, keine Einzelfälle
Jeff Cross, Mitgründer von Nx-Entwickler Narwhal Technologies, zieht eine deutliche Bilanz: "Dieser Vorfall zeigt, dass es tiefgreifendere Veränderungen im Denken darüber braucht, wie wir Entwickler-Tools und Open-Source-Distributionen absichern." Wir müssen uns von der Illusion verabschieden, dass Vertrauen in der Supply-Chain allein durch die Popularität eines Tools gerechtfertigt ist.
TeamPCP hat vorgeführt, wie dezentral einfach das Muster ist: Brich in ein vertrauenswürdiges Tool ein, stiehl Credentials von den Systemen der Entwickler, die es installieren, und nutze diese Credentials, um das nächste vertrauenswürdige Tool zu kompromittieren. Ein selbstverstärkender Kreislauf.
Die Branche steht an einem Wendepunkt. Es reicht nicht mehr, lediglich die eigenen Repos abzusichern. Die Sicherheit der Entwickler-Workstations, der Extension-Marketplaces und der zugrundeliegenden Build-Pipelines muss als zusammenhängendes Ökosystem betrachtet werden. Wenn 18 Minuten ausreichen, um einen Branchenriesen wie GitHub über den Umweg eines Entwickler-Plugins zu kompromittieren, dann halten die Annahmen, unter denen unser Ökosystem seit Jahren operiert, der Realität nicht mehr stand.
Quelle: The Hacker News
