GitHub enquête sur un accès non autorisé à des dépôts internes

GitHub enquête sur un accès non autorisé à ses référentiels internes après la compromission de l’appareil d’un employé, a annoncé la société mercredi. La plateforme développeurs a détecté et contenu la compromission mardi, laquelle impliquait une extension VS Code empoisonnée utilisée pour obtenir l’accès. Bien que GitHub n’ait actuellement aucune preuve d’impact sur les informations clients stockées en dehors de ses référentiels internes, la société surveille de près son infrastructure afin de repérer d’éventuelles activités ultérieures.

GitHub est la principale plateforme pour les développeurs du monde entier, dont beaucoup hébergent leurs projets open source et leurs référentiels sur ses serveurs. L’incident met en évidence des vulnérabilités dans la chaîne d’approvisionnement des outils de développement que les attaquants exploitent pour la collecte de données d’identification (credential harvesting) et l’accès non autorisé.

Incident Response and Technical Details

GitHub a supprimé la version de l’extension malveillante, a isolé le point de terminaison concerné et a lancé immédiatement les procédures de réponse à incident dès la détection. La société a déclaré enquêter sur l’étendue complète de l’accès non autorisé afin de déterminer quels référentiels internes ont été affectés.

TeamPCP Claims Responsibility

Un groupe de piratage nommé TeamPCP a revendiqué la responsabilité de la compromission sur des forums de hackers clandestins, selon Hackmanac. Le groupe a tenté de vendre des données GitHub en ligne, affirmant disposer de « 4 000 repos de code privé » liés à la plateforme principale de GitHub et à ses organisations internes.

TeamPCP est décrit comme un groupe de piratage sophistiqué, très axé sur l’automatisation, qui transforme des outils de développement compromis en machines de collecte de données d’identification pour réaliser un gain financier, selon Security Week.

Security Guidance

Le fondateur de Binance, Changpeng Zhao, a conseillé aux développeurs de revoir leurs pratiques de sécurité : « Si vous avez des clés API dans votre code, même dans des dépôts privés, c’est le moment de les vérifier deux fois et de les changer. »

Related Incidents in Developer Security

L’incident GitHub s’est produit le même jour que Grafana Labs, une entreprise open source d’observabilité des données, a révélé avoir été victime d’une attaque par chaîne d’approvisionnement. Des acteurs malveillants ont accédé aux référentiels GitHub de Grafana et ont téléchargé l’ensemble de son code. Les attaquants ont formulé une demande de rançon en menaçant de divulguer des données, que Grafana n’a pas acceptée.

Cet incident fait suite à la divulgation publique, le 28 avril, d’une vulnérabilité critique d’exécution de code à distance, CVE-2026-3854, qui permettait à des utilisateurs authentifiés d’exécuter des commandes arbitraires sur les serveurs de GitHub. Wiz Research, qui a découvert la faille critique, a rapporté que des millions de référentiels publics et privés appartenant à d’autres utilisateurs et organisations étaient accessibles sur les nœuds affectés.