Angreifer hatten offenbar Zugriff auf interne Repositories von GitHub. Der Betreiber der Versionsverwaltungsplattform hatte zunächst der Plattform Bleeping Computer und später auf X bestätigt, dass das Unternehmen den unautorisierten Zugriff auf Repositories untersuche.

Laut dem Post auf X sind nur interne Repositories betroffen. Es gebe keine Anzeichen dafür, dass dabei Informationen über Kunden abgeflossen sind. Sollte das doch der Fall sein, hat GitHub angekündigt, die Betroffenen direkt über die üblichen Kanäle zu informieren.

Schadcode in einer Extension für Visual Studio Code

Offenbar war das Einfallstor Schadcode in einer Visual Studio Code Extension auf dem Gerät eines Mitarbeiters. GitHub hat den Endpunkt laut eigenen Angaben isoliert und sofort Incident-Response-Maßnahmen eingeleitet.

Immer wieder finden sich infizierte Extensions auch auf den offiziellen Marktplätzen von Microsoft und Eclipse. Ein prominenter Vertreter war GlassWorm im Oktober 2025. Im Frühjahr 2026 gab es zahlreiche Erweiterungen mit Schadcode, die die Urheber vermutlich als Testballons für eine Ransomware-Attacke veröffentlicht haben.

TeamPCP reklamiert den Angriff für sich

TeamPCP hat den Angriff in einem Cybercrime-Forum für sich beansprucht. Die Gruppe soll für zahlreiche jüngere Vorfälle verantwortlich sein, darunter infizierte npm-Pakete von SAP und einen Angriff auf den quelloffenen Security-Scanner Trivy. Außerdem hat TeamPCP jüngst den Quellcode für den npm-Wurm Shai-Hulud veröffentlicht.

Die Angreifergruppe spricht von etwa 4000 Repositories, was sich in etwa mit der in einem späteren X-Beitrag von GitHub gemeldeten Zahl von 3800 Repositories deckt.

TeamPCP versteigert die Daten über das Cybercrime-Forum und erpresst GitHub dabei nur zwischen den Zeilen. Im Text betont die Gruppe dagegen explizit, dass sie kein Lösegeld wolle und GitHub nicht erpressen möchte, sondern die abgegriffenen Daten an den Höchstbietenden verkaufen will. Gebote unter 50.000 US-Dollar nehme sie aber nicht an.

Wenn sich ein Käufer findet, versichert die Gruppe, alle Daten zu löschen. Sollte sich kein Käufer finden, würde sie halt die Daten kostenlos veröffentlichen. Das klingt dann doch ein wenig nach Erpressung.

(rme)

Das immutable Linux-System Ubuntu Core für Internet-of-Things- (IoT) und Edge-Geräte ist in Version 26 erschienen. Canonical hebt „präzise“ Linux-Builds, optimierte OTA-Updates, Live-Kernel-Patching, Hardware-unterstützten Schutz sowie bis zu 15 Jahre Sicherheitsupdates hervor.

In einem Blog-Beitrag kündigt Canonical die aktualisierte Distribution an. Die Verbesserungen des minimalen Betriebssystems prädestinieren es demnach für KI-Anwendungen mit niedriger Latenz, für missionskritische Einsätze. Dafür seien reduzierte Installationszeiten, die Reduzierung der OTA-Update-Größe um 90 Prozent und „präzise“ Builds mittels Chisel verantwortlich. Der Fokus bleibt auf Sicherheit, jede Komponente läuft in der Sandbox, die Snaps sind kryptografisch signiert und die „measured Boot-chain“ erlaubt, nur verifizierte Software zu starten.

Das Long-Term-Support-Release (LTS) hilft zudem, dem Cyber Resilience Act (CRA) der EU Rechnung zu tragen. Für Betreiber kritischer Infrastrukturen will Ubuntu Core 26 die Kosten etwa für Softwareupdates und Wartungs- sowie Installationszeiten reduzieren. Die Over-the-Air-Updates (OTA) fallen deutlich kleiner aus, da das verbesserte Delta-Format für Snap die Größe für die Snaps um 50 bis 90 Prozent reduziert. Die Updates der Core-Snaps sollen anstatt 16 MByte nur noch 1,5 MByte umfassen. Die Installationen setzen auf initramfs, was redundante Neustarts umgehen soll.

„Präzise“ Builds

Das Chisel-Build-System von Ubuntu bringt eine präzise Zusammensetzung für die Core-Snaps. Es erzwingt etwa explizite und nachverfolgbare Abhängigkeiten. Dadurch lasse sich jede Datei im System zu ihrem Ursprung zurückverfolgen. Das soll Integritätsprüfungen und Schwachstellenanalyse verbessern. Als Abgrenzung nennt Canonical Builds mit Yocto – dort sind Herkunft und Abhängigkeiten größtenteils lediglich implizit angegeben. Chisel sorgt zudem für eine Reduktion der Größe des Basis-Images um sieben Prozent.

Ubuntu Core setzt auf Full Disk Encryption und speichert Schlüssel mit den LUKS2-Headern im TPM. Auch Arm-Trusted-Execution-Environments (TEE) werden unterstützt. Die Verbesserungen bezüglich Sicherheit aus Ubuntu 26.04 ziehen auch in Ubuntu Core 26 ein. Etwa Livepatch bringt das Anwenden von Sicherheitspatches im Kernel ohne Neustart nun auch auf ARM64-Architekturen. Sogar rückwirkend offiziell ab Core 20. Canonical verspricht „Zero-Downtime“.

Die Ankündigung im Blogbeitrag nennt noch weitere nützliche Funktionen für die Verwaltung in größeren Netzen. Zuletzt brachte Ubuntu Core 24 größere Änderungen am IoT-Betriebssystem.

(dmk)

Schon vor Anthropics angeblich besonders leistungsfähigem KI-Modell Claude Mythos Preview wurden für Cyberangriffe erstmals seit 19 Jahren häufiger Softwarelücken ausgenutzt als gestohlene Zugangsdaten. Das hat zumindest der US-Provider Verizon anhand von Daten aus dem Jahr 2025 für seinen jüngsten Data Breach Investigations Report (DBIR) ermittelt, der jetzt veröffentlicht wurde. Schon im Vorjahr habe bei fast einem Drittel aller Cyberangriffe eine Sicherheitslücke am Anfang gestanden, auch dank der Hilfe von KI-Technik. Hätten Softwarehersteller bislang oft Monate gehabt, um Lücken zu schließen und Angriffe zu verhindern, stünden dafür in der jetzigen KI-Welt nur noch Stunden zur Verfügung, heißt es dort weiter.

Cybersecurity im Umbruch

Insgesamt sieht man bei Verizons Sicherheitsteam einen fundamentalen Wandel in der Cybersecurity und das auch schon 2025, neuere Daten wurden für den Report noch gar nicht ausgewertet. Im Vorjahr habe KI-Technik vor allem dafür gesorgt, dass Kriminelle ihre erprobten Techniken automatisieren und skalieren konnten, fassen die Verantwortlichen zusammen. In der Verteidigung habe man da noch Schritt halten können, wenn man das genauso getan hätte: „Doch wer weiß? Angesichts der rasanten Entwicklung der KI-Fähigkeiten könnte diese Einschätzung bereits überholt sein, wenn dieser Bericht schließlich veröffentlicht wird“, heißt es da noch, sicher hauptsächlich mit Blick auf Anthropics neue Technik.

Anthropic hat Mythos Anfang April vorgestellt und dazu erklärt, dass das Modell so gefährlich sei, dass es nur Firmen zur Verfügung gestellt wird, die an IT-Sicherheit arbeiten. Das KI-Modell habe schon tausende hochriskante Zero-Day-Lücken identifiziert, hieß es damals. Gleichzeitig sei die KI-Technik deutlich häufiger in der Lage, einen funktionierenden Exploit für solche Lücken zu entwickeln, teilweise würden dafür sogar mehrere in Verbindung miteinander ausgenutzt. Deshalb hätten nur Firmen Zugriff darauf bekommen, die das Werkzeug nutzen können, um die IT-Sicherheit zu verbessern. Seitdem steigt die Zahl von identifizierten und geschlossenen Lücken beispielsweise in Browsern wie Firefox rapide an. Damit verbunden ist das Versprechen, dass sich alle Lücken so finden lassen. Allerdings gibt es auch Fälle, in denen die KI nicht so erfolgreich ist.

In Verizons Data Breach Investigations Report wird jetzt vor weiteren Entwicklungen gewarnt, die alle mehr oder weniger mit der raschen Weiterentwicklung der KI-Technik verbunden sind. So würden Kriminelle stärker auf Social Engineering über Mobilgeräte setzen, also versuchen, Menschen über Textnachrichten oder Anrufe Geld aus der Tasche zu ziehen. Die Erfolgsrate sei hier um 40 Prozent höher als bei traditionellem Phishing. Gewarnt wird zudem vor den Gefahren von Schatten-KI, also nicht von Arbeitgebern freigegebenen KI-Werkzeugen am Arbeitsplatz. Zudem hätten Angriffe auf Lieferketten massiv zugenommen. Der gesamte Bericht ist über 120 Seiten lang und kann online eingesehen werden.

(mho)