Mit der digitalen Transformation haben Entwicklerplattformen wie GitHub zunehmend an Bedeutung gewonnen. Unternehmen nutzen GitHub nicht nur zum Versionsmanagement, sondern auch als Herzstück ihrer Entwicklungs- und Bereitstellungsprozesse. Der Ausbau der Infrastruktur durch CI/CD-Pipelines und automatisierte Workflows macht GitHub zu einem attraktiven Ziel für Cyberkriminelle. Eine der neuartigen und besonders gefährlichen Angriffstechniken, die sich in den letzten Jahren entwickelt hat, ist das sogenannte GitHub Device Code Phishing. Dabei handelt es sich um einen raffinieren Social-Engineering-Angriff, der die OAuth 2.
0 Device Authorization Grant Methode ausnutzt, um sich Zugriff auf GitHub-Konten und somit auf wertvolle Unternehmensressourcen zu verschaffen. OAuth 2.0 Device Authorization Grant ist ursprünglich gedacht, um Geräte mit beschränkter Eingabefähigkeit – etwa Smart-TVs oder IoT-Geräte – eine sichere Authentifizierung zu ermöglichen. Der Nutzer erhält dabei einen achtstelligen Code, den er auf einem anderen Gerät eingeben muss, um den Zugriff zu autorisieren. Zwar bietet dieses Verfahren eine praktische Lösung, jedoch hat es eine entscheidende Schwachstelle: Es gibt keine sichere Bindung zwischen dem erzeugten Code und der authentifizierenden Person.
Dies eröffnet Angreifern eine Hintertür, denn sie können beispielsweise einen Code erzeugen und via Telefon oder andere Kanäle an das Opfer weitergeben und es so verleiten, die Autorisierung durchzuführen. Die Angreifer erhalten anschließend Zugang zum Zielkonto, ohne das Passwort kennen zu müssen. Ähnliche Angriffe auf den OAuth Device Flow sind bereits aus Microsofts Azure Active Directory bekannt und haben dort in der Vergangenheit erhebliche Schäden verursacht. GitHub als zentrale Plattform für Entwickler und Unternehmen wird bisher noch nicht genügend als Angriffsziel wahrgenommen. Die steigende Zahl von Angriffen und die Nachahmung erfolgreicher Techniken aus dem Microsoft-Umfeld verdeutlichen jedoch, dass GitHub Device Code Phishing ein erhebliches Risiko darstellt, das bald weit verbreitet sein könnte.
Die Vorgehensweise der Angreifer beginnt meist mit der Erstellung eines gültigen Device Codes über das offizielle OAuth-API von GitHub. Dabei wählen sie bewusst die Client-ID etablierter Anwendungen wie Visual Studio Code, um das Vertrauen des Opfers zu stärken und Warnhinweise auf der Seite zu minimieren. Der ausgestellte Code wird dann per Social Engineering vermittelt – häufig durch Anrufe, in denen Angreifer sich als Support-Mitarbeiter oder interne IT-Kollegen ausgeben. Sie erreichen dabei eine Erfolgsquote von über 90 Prozent bei gezielten Telefonaten mit Entwicklern, da diese häufig unbedarft auf Authentifizierungsanfragen reagieren. Sobald das Opfer den achtstelligen Code auf der GitHub Device-Login-Seite eingibt und die Autorisierung bestätigt, erlangt der Angreifer Zugriff auf die OAuth-Token, mit denen sich der Account kompromittieren lässt.
Die Konsequenzen sind gravierend. Die Zugriffstoken ermöglichen es Angreifern, geistiges Eigentum aus privaten Repositories auszulesen, Sicherheitsschlüssel von GitHub Actions zu stehlen und selbst auf selbstgehostete GitHub Runner zuzugreifen, mit denen sich interne Systeme infiltrieren lassen. Darüber hinaus können Angreifer direkten Einfluss auf CI/CD-Workflows nehmen, Schadsoftware in Code einbauen und damit Supply-Chain-Angriffe starten, die Nutzer und Unternehmen weltweit betreffen. Besonders besorgniserregend ist, dass dieser Angriffsvektor sich prächtig für schnelle und großflächige Kompromittierungen eignet. Red-Teams berichten von mehreren erfolgreichen Testfällen bei Fortune-500-Unternehmen, bei denen sie mit vergleichsweise geringem Aufwand hochprivilegierten Zugriff erlangten.
Zwei Fallbeispiele verdeutlichen die Bandbreite der Methode: Bei einem Unternehmen mit einer intern isolierten GitHub Enterprise Instanz konnten Angreifer erst über einen zuvor kompromittierten Helpdesk-Rechner in das private Netzwerk gelangen und von dort aus die Device Code Phishing Attacke auf Entwickler starten. Im zweiten Fall wurde eine eigens entwickelte Automationsplattform namens GitPhish eingesetzt, die automatische Generierung von Device Codes mit professionellen Phishing-Seiten kombiniert, um gegen mehrere hundert Entwickler simultan vorzugehen. Die zeitliche Begrenzung von Device Codes auf 15 Minuten wurde durch diese dynamische Lösung somit überwunden und das Angriffsszenario deutlich skalierbar gemacht. Für Sicherheitsteams ist die Detektion der Angriffe anspruchsvoll. GitHubs Audit-Logs liefern zwar Hinweise in Form von autorisierten OAuth-Tokens, doch ohne Kontext sind diese kaum interpretierbar.
Ein wichtiger Alarmmechanismus ist das Log-Event org_credential_authorization.grant, das eine erfolgte Token-Autorisierung dokumentiert. Durch die Überwachung von IP-Adressen und Token-Berechtigungen lassen sich verdächtige Muster erkennen, etwa wenn mehrere Token mit identischen, weitreichenden Scopes kurz hintereinander autorisiert wurden. Auch Netzwerkprotokolle können durchleuchtet werden, um Zugriff auf die URL github.com/login/device festzustellen, insbesondere wenn dies ungewöhnlich oder gehäuft bei Mitarbeitern im VPN-Verkehr auftritt.
Weiterhin bieten sich Post-Exploitation-Indikatoren an: ein plötzlicher Anstieg von Repository-Klonungen, abrupte Zugriffe auf CI/CD-Geheimnisse oder verdächtige Änderungen von GitHub Workflows sollten Administratoren alarmieren. Die Abwehr von GitHub Device Code Phishing stellt eine Herausforderung dar. Die Möglichkeit, den OAuth Device Flow vollständig zu deaktivieren, existiert derzeit nicht. Daher raten Experten zu einer Kombination aus technischen und organisatorischen Maßnahmen. IP-Allow-Listing kann den Zugriff auf GitHub Organisationen auf bekannte IP-Bereiche beschränken, allerdings ist dies aufgrund der restriktiven Auswirkungen auf hostgehostete Runners mit Vorsicht einzusetzen.
Alternativ kann der Zugang zum Device Login Endpoint über Proxy- oder Firewall-Regeln eingeschränkt werden, wenn der Dienst innerhalb der Organisation nicht benötigt wird. Wichtig ist vor allem die Vorbereitung auf den Ernstfall: Berechtigungen sollten nach dem Least-Privilege-Prinzip vergeben werden, um bei einem möglichen Angriff den Schaden zu begrenzen. Zudem sind schnelle Reaktionsspielräume durch etablierte Playbooks zur Widerrufung kompromittierter Zugänge essentiell. Neben der technischen Absicherung sind regelmäßige Schulungen und Sensibilisierung der Entwicklerinnen und Entwickler wichtig, um das Bewusstsein für Social Engineering und ungewöhnliche Authentifizierungsaufforderungen zu erhöhen. Angreifer machen sich häufig die Hilfsbereitschaft und das Vertrauen der Zielpersonen zunutze, wie die Erfolgsmeldungen der Red Teams zeigen.
Der Einsatz moderner Detektionstechnologien, etwa durch automatisierte Tools wie Praetorians Gato, unterstützt die Analyse von Angriffsmustern und die schnelle Identifikation von kompromittierten Ressourcen und Workflows. GitHub Device Code Phishing steht exemplarisch für die sich wandelnde Bedrohungslandschaft in der Softwareentwicklung und Cloud-Sicherheit. Während Unternehmen ihre DevOps-Prozesse optimieren und immer stärker zentralisieren, erweitern sich damit auch die Angriffsflächen. Die Bedrohung für die Software-Supply-Chain ist real und wächst mit der Popularität der Plattformen. Daher ist es essenziell, sich frühzeitig mit der Thematik auseinanderzusetzen und passende Schutzmaßnahmen zu ergreifen.
Cyberkriminelle werden weiterhin nach innovativen Tricks suchen, um bestehende Sicherheitsmechanismen zu umgehen. Unternehmen, die hier zurückbleiben, riskieren weitreichende Folgen von Industriespionage bis hin zu großflächigen Systemausfällen durch Supply-Chain-Manipulationen. Abschließend bleibt klar: GitHub Device Code Phishing ist kein hypothetisches Szenario mehr, sondern eine konkrete Gefahr mit bereits dokumentierten Angriffserfolgen. Umso wichtiger ist für alle Organisationen mit einer signifikanten GitHub-Nutzung die proaktive Vorbereitung, um bei einem Angriff nicht unvorbereitet zu sein. Der kluge Umgang mit Zugriffsrechten, der Aufbau von Frühwarnsystemen sowie kontinuierliche Mitarbeiterschulungen bilden das Fundament für eine nachhaltige Verteidigung in der modernen Entwicklungswelt.
Das Thema wird in zukünftigen Security-Konferenzen und Webinaren weiteren Raum einnehmen – es lohnt sich, die Entwicklungen im Blick zu behalten und die Learnings aus der Praxis umzusetzen.
