GitHub confirme un piratage : une extension malveillante compromet l’appareil d’un employé

GitHub enquête sur un incident de sécurité potentiel majeur après qu’un appareil appartenant à un employé ait été piraté via une extension malveillante pour Visual Studio Code. La plateforme de développement l’a annoncé mercredi.

Selon GitHub, il n’y a actuellement aucune preuve que des données clients aient été exfiltrées en dehors des systèmes internes. Cependant, l’entreprise surveille de près son infrastructure en raison de possibles activités futures des hackers.

GitHub est l’une des plus grandes plateformes mondiales pour les développeurs de logiciels, utilisée pour stocker et gérer du code source et des projets logiciels.

GitHub découvre une attaque via une extension malveillante de VS Code

L’attaque a été découverte mardi après qu’un appareil d’un employé a été compromis via une extension corrompue pour Visual Studio Code, un environnement de programmation populaire de Microsoft.

GitHub affirme avoir pris des mesures immédiates pour éviter d’autres dégâts. « L’extension malveillante a été supprimée, l’appareil a été isolé et nous avons immédiatement lancé la gestion de l’incident », a déclaré l’entreprise dans un communiqué.

La plateforme enquête actuellement pour déterminer si les hackers ont accédé à des dépôts internes ou à d’autres systèmes sensibles.

Le groupe de hackers TeamPCP revendique la responsabilité

Peu après l’annonce, le groupe de hackers TeamPCP a revendiqué la responsabilité de l’attaque. Selon le groupe, environ 4 000 dépôts privés contenant du code interne de GitHub ont été volés.

Les dépôts sont des espaces de stockage numériques où les développeurs conservent du code logiciel et des fichiers de projet. Dans certains cas, ils peuvent également contenir des données sensibles ou des clés d’accès.

TeamPCP tenterait désormais de vendre en ligne les données volées. GitHub n’a pour l’instant pas confirmé ces allégations.

Le site de cybersécurité SecurityWeek décrit TeamPCP comme un groupe de hackers sophistiqué utilisant des outils de développement compromis pour voler des identifiants de connexion et des données à des fins lucratives.

Le fondateur de Binance met en garde les développeurs

L’ampleur potentielle de l’incident suscite des inquiétudes dans le secteur technologique. Changpeng Zhao, fondateur de la plateforme de cryptomonnaie Binance, a exhorté les développeurs à vérifier immédiatement leurs informations de sécurité.

« Si vous avez stocké des clés API dans votre code, même dans des dépôts privés, c’est le moment de les modifier immédiatement », a écrit Zhao.

Les clés API permettent aux logiciels d’accéder à des services et systèmes externes. Si ces clés sont divulguées, les hackers pourraient potentiellement accéder à des comptes, bases de données ou plateformes de paiement.

Grafana Labs également touché plus tôt cette semaine

L’attaque contre GitHub survient peu après un incident similaire chez Grafana Labs. L’entreprise open source a annoncé mardi avoir été victime d’une attaque sur sa chaîne d’approvisionnement.

Lors de cet incident, les attaquants ont accédé aux dépôts GitHub et téléchargé des parties du code source de l’entreprise. Les hackeurs ont ensuite tenté d’extorquer de l’argent sous la menace de rendre les données publiques.

Grafana Labs a déclaré ne pas avoir cédé aux exigences des attaquants.

Vulnérabilité critique de GitHub récemment révélée

La chronologie de l’incident est frappante. Le 28 avril, une vulnérabilité critique dans GitHub a été divulguée, enregistrée sous le code CVE-2026-3854.

Cette vulnérabilité permettait aux utilisateurs authentifiés d’exécuter à distance des commandes aléatoires sur les serveurs GitHub. La société de recherche Wiz Research a alors signalé que des millions de dépôts publics et privés pouvaient être accessibles sur les systèmes affectés.

Il n’est pas encore clair s’il existe un lien entre cette vulnérabilité et le récent piratage.

Les attaques sur la chaîne d’approvisionnement représentent une menace croissante

Les spécialistes de la cybersécurité mettent en garde depuis un certain temps contre l’augmentation des attaques sur la chaîne d’approvisionnement logiciel. Dans ces attaques, les hackers ciblent des outils logiciels, des plug-ins ou des fournisseurs externes pour accéder à de plus grands systèmes par une seule faille.

Les plateformes de développement comme GitHub sont particulièrement attrayantes pour les hackers en raison de la grande quantité de code source, de données d’accès et d’informations commerciales qui y sont stockées.

Les experts conseillent donc aux entreprises de prendre des mesures de sécurité supplémentaires, notamment l’authentification multifactorielle, un contrôle plus strict des extensions externes et une gestion sécurisée des clés secrètes et des mots de passe.