📂 Supply chain
Av · · 4 min lesing

GitHub bekrefter brudd: 3 800 interne repos lekket via ondsinnet VSCode-extension

GitHub bekreftet i dag at en ansatts maskin ble kompromittert av en ondsinnet VSCode-extension. 3 800 interne repositorier ble eksfiltrert. Hackergruppen TeamPCP, som tidligere har stått bak supply chain-angrep mot OpenAI, PyPI og NPM, hevder de tok 4 000. Hva betyr dette for norske bedrifter som bruker GitHub eller VSCode?

Hva skjedde, time for time

Ifølge GitHub ble bruddet oppdaget tirsdag 19. mai kveld, lokal tid. En av selskapets ansatte hadde installert en VSCode-extension fra Visual Studio Code Marketplace, og denne hadde fått tilgang til både filsystemet og GitHub-credentials på enheten. Når extensionen kjørte i workspace med åpne repositorier, leste den filer og sendte data ut til en kontrollert server.

Angrepet ble bekreftet onsdag morgen 20. mai. GitHub fjernet den ondsinnede versjonen fra marketplace, isolerte den infiserte enheten, og oppga at «den nåværende vurderingen er at aktiviteten kun involverte eksfiltrering av GitHub-interne repositorier». TeamPCP publiserte kort tid etter beviser på dark web og hevder å ha rundt 4 000 repos. Differensen mellom 3 800 og 4 000 er ikke avklart.

Cybernews og BleepingComputer dekket saken først internasjonalt. Norske myndigheter har foreløpig ikke kommentert om brudd har påvirket norske organisasjoner.

Hvordan en VSCode-extension blir et angrepsvåpen

Visual Studio Code er det mest brukte koderedigeringsverktøyet i verden, med over 30 millioner aktive utviklere. Extension-økosystemet teller titusenvis av tillegg, alt fra syntax highlighting til AI-assistenter. De fleste er trygge. Noen er ikke.

Når du installerer en VSCode-extension får den, avhengig av tillatelser, lese-tilgang til:

  • Hele workspace-mappen din, inkludert kildekode, miljøvariabler og hemmeligheter
  • Filer du har åpnet i editoren
  • Terminal-output og kommandoer du kjører
  • Lokalt lagrede tokens fra Git, Docker og andre verktøy
  • Klipptavlen din i mange tilfeller

En forgiftet extension trenger ikke å se mistenkelig ut. Den kan ha legitime funksjoner, brukes av tusenvis, og samtidig sende kopier av .env-filer, GitHub-tokens og hele repos til en ekstern server i bakgrunnen. Microsoft, som driver marketplace, har automatisert skanning, men den fanger ikke alt. Spesielt ikke når koden lastes via post-install-scripts eller dependencies som oppdateres etter at extensionen er publisert.

Hvem er TeamPCP

TeamPCP er en relativt ny hackergruppe som har spesialisert seg på supply chain-angrep mot utviklerverktøy. De har blitt knyttet til:

  • «Mini Shai-Hulud»-kampanjen (april 2026): rammet OpenAI-ansatte gjennom NPM-pakker med forgiftet kode
  • PyPI-angrep (mars 2026): publiserte typo-squattede Python-pakker som etterlignet populære bibliotek
  • Docker Hub-incident (februar 2026): infiserte container-images brukt av flere CI/CD-pipelines

Mønsteret er konsistent: gruppen går etter utviklerplattformer fordi en kompromittert utvikler-enhet kan gi tilgang til store mengder kildekode og hemmeligheter. De selger ikke nødvendigvis dataene videre. Tidligere lekkasjer har endt opp på offentlige torrent-trackere og dark-web-forum etter at gruppen har fått det de ville av oppmerksomhet.

Hvorfor dette er relevant for norske bedrifter

Det er lett å tenke «dette er GitHubs problem, ikke vårt». Det er det ikke. Hvis bedriften din:

  • Har ansatte eller eksterne utviklere som bruker VSCode
  • Lagrer kildekode i GitHub, GitLab eller Bitbucket
  • Bruker miljøvariabler (.env) eller API-nøkler under utvikling
  • Har egen IT som installerer dev-verktøy uten en sentralisert godkjenningsprosess

...så er du sårbar for nøyaktig samme angrepsvektor. Den eneste forskjellen mellom deg og GitHub er skala. En norsk SMB med fem ansatte trenger bare én utvikler som installerer feil extension, så ligger kildekoden, kundedata-eksempler og access-tokens på en server i et land du ikke kan stevne for retten.

Hva du kan gjøre i dag, helt konkret

Du trenger ikke å være en stor virksomhet for å redusere risikoen vesentlig. Her er fem ting du kan gjøre denne uka:

1. Audit av installerte VSCode-extensions

Be alle utviklere åpne VSCode, gå til Extensions-fanen, og sende deg en liste over alt som er installert. Sjekk hver mot Microsofts «Verified Publisher»-merke. Alt som ikke er fra en verifisert utgiver, eller som har under 100 000 nedlastinger, bør gjennomgås manuelt eller fjernes.

2. Rotér tokens og API-nøkler

Hvis utviklerne dine bruker GitHub-tokens, AWS-nøkler, Stripe-keys, eller andre credentials lokalt på maskinen, rotér disse nå. Spesielt hvis du ikke kan dokumentere at ingen av dine ansatte har installert VSCode-extensions fra ukjente kilder de siste 30 dagene.

3. Slå av automatisk extension-installasjon på arbeidsmaskiner

VSCode lar deg pre-installere en godkjent liste extensions via .vscode/extensions.json i hvert repo, og slå av muligheten for individuelle utviklere til å installere egne. For team som ikke trenger absolutt frihet, er dette en billig sikkerhetsforbedring.

4. Begrens scope på GitHub Personal Access Tokens

De fleste utviklere lager PAT-tokens med altfor brede tillatelser. En PAT med repo-scope alene gir lese- og skrive-tilgang til alle repos brukeren har tilgang til, inkludert private. Bruk fine-grained tokens med begrenset utløp (90 dager max) og spesifikt scope per integrasjon.

5. Overvåk om dine egne credentials lekker

Når en utviklerenhet kompromitteres, ender innholdet ofte på dark web innen uker. HaveIBeenPwned, GitHub Secret Scanning, og dedikerte dark-web-overvåkingstjenester kan varsle deg når nettopp ditt domene eller dine ansattes e-poster dukker opp. Dette er førstelinjens varslingssystem etter et brudd du ikke selv oppdaget.

Hvor sårbar er din bedrift akkurat nå

Det er én ting å lese om GitHubs brudd. Det er noe annet å vite om din bedrift har lignende eksponering: glemte tokens i offentlige repos, eksponerte .env-filer på subdomener, eller ansattes credentials som allerede ligger på dark web fra tidligere lekkasjer.

Mustvedt Sentinel leverer en signert sårbarhetsrapport som sjekker akkurat disse tingene for ditt domene. Du får oversikt over hva angripere kan se utenfra, hvilke credentials som lekker, og hvilke konkrete fixes du må gjøre. Engangsbetaling, 1 990 kr eks. mva, signert PDF på tre dager.

Bestill Sentinel Sårbarhetsrapport →

Kilder

  • Cybernews, «GitHub VSCode Extension Breach Sourcecode» (20. mai 2026)
  • BleepingComputer, «GitHub confirms breach of 3,800 repos via malicious VSCode extension» (20. mai 2026)
  • GitHubs offisielle uttalelse via Engineering Blog (20. mai 2026)

Relaterte artikler

📧
E-post
5 MX-feilkonfigurasjoner som eksponerer bedriftens e-post
🛡️
Lansering
Sårbarhetsrapport: profesjonell sikkerhetsanalyse for SMBer, levert på 3 dager
⚠️
CVE
CVE-2026-42897: Aktivt utnyttet XSS-sårbarhet i Exchange Server
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn