GitHub Inc. a confirmé que des pirates ont exfiltré environ 3 800 de ses référentiels de code interne après qu'un de ses employés a installé une extension Visual Studio Code empoisonnée, a révélé mardi soir la plate-forme de développement appartenant à Microsoft Corp.
La violation a été détectée le 19 mai et attribuée à une extension malveillante trouvée par l'équipe de sécurité de GitHub sur l'appareil de l'employé. GitHub a déclaré que la compromission avait été contenue et que les données client et le code stocké sur la plateforme n'étaient pas affectés.
« Nous avons supprimé la version de l'extension malveillante, isolé le point final et commencé immédiatement à répondre aux incidents », a déclaré GitHub dans une série de messages sur X. « Les secrets critiques ont été alternés hier et du jour au lendemain, les informations d'identification ayant le plus grand impact étant prioritaires. »
GitHub n'a pas nommé l'extension ni indiqué comment elle a atteint l'appareil de l'employé. Un rapport post-incident plus complet est promis une fois l’enquête terminée.
Le groupe de piratage TeamPCP a revendiqué la faille sur le forum de cybercriminalité Breached, en publiant le code source de GitHub et ce qu'il disait être environ 4 000 référentiels privés à vendre au prix de départ de 50 000 $. TeamPCP a déclaré qu'il ne vendrait qu'à un seul acheteur et qu'il divulguerait les données publiquement si aucune offre ne lui était présentée. GitHub a rapproché le nombre réel de 3 800, mais a déclaré que l'affirmation de TeamPCP était « cohérente dans le sens » avec ce que sa propre enquête avait trouvé.
TeamPCP a passé une grande partie de 2026 à toucher les écosystèmes de développeurs. Les campagnes liées au groupe ont compromis le scanner de vulnérabilités Trivy d'Aqua Security, l'analyseur d'infrastructure en tant que code KICS de Checkmarx Inc., le client Python LiteLLM et le kit de développement logiciel officiel de Telnyx LLC, avec des victimes en aval, notamment la Commission européenne. Le groupe a également utilisé le typosquatting sur le Python Package Index et, selon les chercheurs en sécurité, a formé des partenariats de travail avec des opérateurs d'extorsion et de ransomware, notamment Lapsus$ et le groupe de ransomware Vect.
GitHub héberge le code de plus de 100 millions de développeurs, ce qui fait de son propre code source une récompense pour les attaquants cherchant à s'implanter dans l'ensemble de l'industrie du logiciel. Les extensions Visual Studio Code, quant à elles, sont devenues un problème récurrent. Les chercheurs ont signalé sur le marché des listes de chevaux de Troie utilisées pour récolter des informations d'identification, extraire des cryptomonnaies et exfiltrer des données, certaines accumulant un nombre important d'installations avant d'être retirées.
Une partie du problème réside dans la conception. Les extensions Visual Studio Code s'exécutent avec des autorisations étendues sur les machines des développeurs et se trouvent aux côtés du code source, des informations d'identification et des pipelines de construction, ce qui les place dans une position dans laquelle la plupart des outils de sécurité des points finaux ne peuvent pas voir.
Discutant de l'actualité, Morey Haber, conseiller en chef en sécurité de la société de sécurité des accès privilégiés BeyondTrust Corp., a déclaré à SiliconANGLE par courrier électronique que la violation rappelle que les environnements de développement ont désormais la même valeur stratégique que l'infrastructure de base de l'entreprise.
« Les postes de travail des développeurs possèdent désormais la même valeur stratégique que les contrôleurs de domaine, et l'accès aux référentiels de code source, aux secrets, aux clés SSH, aux informations d'identification cloud, aux certificats de signature et aux pipelines de déploiement peut transformer un seul point de terminaison compromis en un incident de chaîne d'approvisionnement en cascade », a déclaré Haber. « TeamPCP semble avoir compris cette voie d'attaque, et ses activités récentes démontrent qu'elle se concentre systématiquement sur l'empoisonnement des écosystèmes de développeurs de confiance plutôt que sur l'attaque directe des infrastructures renforcées. »
Agnidipta Sarkar, évangéliste en chef du fournisseur de microsegmentation Zero Trust ColorTokens Inc., a noté que la plus grande préoccupation pourrait être ce que les attaquants peuvent faire avec le code de la plate-forme de GitHub plutôt que ce qu'ils ont pris dans les référentiels eux-mêmes.
« Les attaquants ont désormais accès au code de la plate-forme GitHub, aux exécuteurs d'actions, aux flux d'authentification, à l'analyse des secrets, au backend Copilot et bien plus encore, et c'est suffisamment de connaissances pour lancer des zero-days, du phishing convaincant ou des contournements qui affecteront les utilisateurs plus tard, même si les dépôts des clients n'ont pas été touchés », a déclaré Sarkar. « Les équipes de sécurité doivent traiter GitHub comme potentiellement compromis en amont, inventorier toutes les connexions GitHub et alterner ou réinitialiser toutes les autorisations et tous les accès, en particulier les clés API, et passer immédiatement à des identités cryptographiques sans mot de passe. »
