Ein Hacker ist in die internen Systeme von GitHub eingedrungen, indem er einen Mitarbeiter dazu brachte, eine bösartige VS-Code-Erweiterung zu installieren. Der Angreifer erbeutete Code aus rund 3.800 eigenen Repositorien von GitHub, bevor das Unternehmen den Vorfall bemerkte. GitHub betont, dass keine Kundenprojekte, Organisationen oder Konten betroffen waren – doch die Krypto-Branche beobachtet die Sache genau, da dieselben Techniken auf Börsen, Wallet-Anbieter und DeFi-Protokolle abzielen könnten.
Wie der Einbruch ablief
GitHub entdeckte den Eindringling, als ein Mitarbeiter unwissentlich eine bösartige Version einer VS-Code-Erweiterung installierte. Das Unternehmen isolierte den kompromittierten Computer, entfernte die Erweiterung und setzte kritische Passwörter zurück. Die Untersuchung ergab, dass die Behauptung des Angreifers, etwa 3.800 gestohlene Repositorien, mit den internen Erkenntnissen übereinstimmt. Ein vollständiger Bericht steht noch aus.
Dies ist nicht der erste interne Sicherheitsvorfall bei GitHub – aber gemessen an der Anzahl der Repos einer der größten. Der Einbruch erinnert an den Vercel-Vorfall Anfang 2026, den 3Commas-Leak von 2022, bei dem rund 100.000 Benutzer-API-Schlüssel offengelegt wurden, und einen Supply-Chain-Angriff auf Bitwarden, bei dem Wallet-Seeds und Entwickler-Tokens gestohlen wurden.
CZs deutliche Warnung
Changpeng Zhao, Gründer von Binance, wartete nicht auf den offiziellen Bericht. Er warnte Entwickler, jedes Projekt auf versteckte API-Schlüssel zu überprüfen und diese sofort zu ersetzen. Sein Rat: Behandeln Sie selbst private Repositorien als kompromittiert. In der Krypto-Welt können offengelegte API-Schlüssel zu leergeräumten Trading-Konten, gestohlenem Wallet-Zugriff, kompromittierten Verwahrungstools oder gekaperten Exchange-Bots führen. Ein privates Repo ist nicht sicher, wenn der Angreifer bereits innerhalb der eigenen Mauern von GitHub war.
Warum Krypto-Entwickler sich kümmern sollten
Entwickler hinterlassen routinemäßig private Schlüssel, API-Tokens und Build-Geheimnisse in Code, Skripten oder Konfigurationsdateien – in der Annahme, dass das Repo hinter einer Unternehmensfirewall sicher sei. Der GitHub-Hack zeigt, wie fragil diese Annahme ist. Wenn ein Angreifer eine bösartige Erweiterung einschleusen und interne Repos absaugen kann, ist jede Organisation mit wertvollen Schlüsseln im Code ein Ziel. Besonders die Krypto-Branche ist auf API-Schlüssel für Exchange-Bots, Trading-Algorithmen und Wallet-Operationen angewiesen; ein Leck könnte katastrophal sein.
Der Zeitpunkt ist nicht ideal. Die Branche ist bereits angespannt nach einer Reihe von Supply-Chain- und Credential-Diebstählen in diesem Jahr. Die Reaktion von GitHub – Isolieren des Rechners, Zurücksetzen der Passwörter – ist Standard, aber der Umfang des Diebstahls bedeutet, dass einige Schlüssel möglicherweise bereits im Umlauf sind.
GitHub gibt an, die Untersuchung fortzusetzen und einen detaillierten Bericht zu veröffentlichen. Bis dahin müssen Entwickler ihre eigenen Codebasen überprüfen und hoffen, dass der Angreifer nichts Kritisches gefunden hat.
