Das Projekt ist im Aufbau, läuft unter einer Domain, die noch nie für etwas "sinnvolles" verwendet wurde, die gesamte Site ist per .htaccess / .htpasswd zugriffsgeschützt.

Wenn es denn so ist:

Hoster kontaktieren (falls kein eigener (V-)Server), aber vorher den eigenen Rechner und den aller Projekteilnehmer checken. Es gab auch schon Trojaner, die haben Dateien unmittelbar vor dem Upload per FTP, SFTP WeDAV oder was immer verändert.

Außerdem: Alle Passwörter ändern, die könnten inzwischen bekannt sein.