Alarm für Entwickler
Die Plattform GitHub verzeichnete einen Sicherheitsvorfall, bei dem über eine manipulierte Visual Studio Code (VS Code) Erweiterung Schadcode eingeschleust wurde. Angreifer nutzten die Schwachstelle, um Tokens für die Authentifizierung abzugreifen und Zugriff auf private Repositories zu erlangen.
Dieser Vorfall betrifft insbesondere Firmen, die ihre proprietäre Spiel-Logik oder Assets in privaten GitHub-Repositories verwalten. Entwickler laden häufig Plugins von Drittanbietern herunter, um den Workflow in VS Code anzupassen.
Der Weg der Infektion
Die Schadsoftware agierte subtil im Hintergrund der bekannten Editor-Umgebung. Der Angriff verlief nach einem klaren Muster:
- Die Visual Studio Code Extension wurde als nützliches Tool getarnt.
- Nach der Installation griff die Erweiterung auf lokale Anmeldedaten zu.
- Die gestohlenen Identifikationsmerkmale ermöglichten den Zugriff auf private Repositories.
Das Problem bei VS Code ist die Architektur des Marketplace. Microsoft erlaubt auch unabhängigen Entwicklern die Veröffentlichung von Plugins ohne tiefgreifende Sicherheitsüberprüfungen. Ähnliche Muster zeigten sich bereits bei Angriffen auf NPM-Pakete, bei denen bösartiger Code in die Lieferkette von Softwareprojekten gelangen konnte.
Historie und Branchenkontext
Die Abhängigkeit von Visual Studio Code ist in der Gaming-Branche seit der Veröffentlichung im Jahr 2015 massiv gestiegen. Vor der Dominanz von VS Code nutzten Studios primär Visual Studio 2010/2012 oder spezialisierte IDEs wie JetBrains Rider.
Heute verwenden Engine-Anbieter wie Epic Games für die Unreal Engine spezielle VS Code-Integrationen. Auch bei der Unity-Entwicklung ist VS Code für C#-Skripte der Standard. Die Erweiterungen sind oft quelloffen, was die Prüfung durch Dritte erschwert, da Angreifer legitime Erweiterungen übernehmen (sog. Account Takeover) und dort Schadcode nachpatchen.
Was bisher bekannt ist
Ein vollständiger Bericht zum Vorfall wird aktuell von den Sicherheitsteams bei GitHub erstellt. Die Verantwortlichen untersuchen derzeit, wie viele Konten exakt betroffen sind.
Die betroffenen Nutzerprofile zeigen folgende Merkmale:
- Ungewöhnliche Aktivitäten in privaten Repositories.
- Unbekannte Zugriffsanfragen aus fremden Regionen.
- Manipulationen an bestehendem Quellcode durch externe Skripte.
Bei vorangegangenen Angriffen auf die GitHub-Infrastruktur wurden oft automatisierte Bots eingesetzt, um innerhalb von Sekunden nach dem Diebstahl eines „Personal Access Token“ (PAT) ganze Repositories zu klonen. Im Jahr 2022 kam es zu einer groß angelegten Kampagne, bei der Entwickler-Accounts gezielt für das Einschleusen von Krypto-Minern in CI/CD-Pipelines genutzt wurden.
Sicherheit geht vor
Für Entwickler in der Gaming-Branche bedeutet dieser Vorfall eine notwendige Überprüfung der eigenen Sicherheitsstandards. Vertrauen in Drittanbieter-Erweiterungen sollte kritisch hinterfragt werden.
- Prüft regelmäßig eure installierten Plugins in Visual Studio Code.
- Aktiviert die Zwei-Faktor-Authentifizierung für alle Plattform-Accounts.
- Entfernt Erweiterungen mit geringer Nutzerzahl oder fehlender Verifizierung sofort.
Studios implementieren zunehmend lokale „Air-Gap“-Systeme für ihre Build-Server, um den Zugriff von externen Plugins auf sensible Repositories zu unterbinden. Sicherheitsteams raten dazu, VS Code-Instanzen in isolierten Umgebungen zu betreiben, in denen keine direkten API-Zugriffe auf die Cloud-Repositories ohne manuelle Freigabe möglich sind.
Derzeit gibt es keine Hinweise darauf, dass die Angreifer ihre Identität verschleiert haben, allerdings deutet der Modus Operandi auf eine gezielte Kampagne gegen Software-Lieferketten hin. Microsoft hat bereits erste betroffene Erweiterungen aus dem VS Code Marketplace entfernt und die betroffenen Entwicklerkonten gesperrt.
