GitHub, la plateforme de développement utilisée par des millions de développeurs dans le monde, a confirmé avoir été victime d’une cyberattaque ayant conduit à l’exfiltration de milliers de répertoires internes.
L’incident serait lié à l’installation d’une extension malveillante sur le VS Code Marketplace, la boutique officielle d’extensions de Visual Studio Code.
Une extension VS Code compromise à l’origine de l’attaque
Selon GitHub, l’attaque a débuté après qu’un employé a installé une extension Visual Studio Code piégée. Cette extension aurait permis aux attaquants de compromettre le poste de travail concerné puis d’accéder à des ressources internes.
GitHub parle d’une attaque de type supply chain, une méthode de plus en plus utilisée par les cybercriminels pour infiltrer des entreprises via des composants tiers de confiance.
Dans une déclaration publiée sur X, GitHub indique que les revendications des attaquants concernant environ 3 800 répertoires internes seraient cohérentes avec les éléments identifiés dans l’enquête en cours.
« Notre évaluation actuelle est que l’activité a concerné uniquement l’exfiltration de répertoires internes à GitHub. Les revendications actuelles de l’attaquant concernant environ 3 800 répertoires sont cohérentes avec notre enquête jusqu’à présent. »
LAPSUS$ et TeamPCP revendiquent la fuite
Quelques heures après la confirmation de l’incident, les groupes LAPSUS$ et TeamPCP ont publié une annonce sur des forums cybercriminels affirmant détenir près de 4 000 dépôts privés internes liés à GitHub et Microsoft.
Les cybercriminels réclameraient désormais 95 000 dollars pour céder l’ensemble des données à un acheteur unique, menaçant de publier gratuitement les fichiers si aucun accord n’est trouvé.
Des projets stratégiques évoqués dans la fuite
D’après les informations publiées par les attaquants, les dépôts compromis concerneraient plusieurs projets majeurs de l’écosystème GitHub et Microsoft :
- GitHub Actions ;
- GitHub Enterprise ;
- GitHub Copilot ;
- Azure ;
- CodeQL ;
- systèmes d’authentification internes ;
- outils de sécurité et infrastructure cloud.
À ce stade, GitHub n’a pas confirmé le contenu exact des dépôts revendiqués par les attaquants.
Une nouvelle alerte sur les extensions VS Code
L’incident remet une nouvelle fois en lumière les risques liés aux extensions tierces distribuées via les marketplaces officielles. Ces derniers mois, plusieurs extensions malveillantes ont été découvertes sur le VS Code Marketplace, certaines intégrant des voleurs de données, des mineurs de cryptomonnaies ou des portes dérobées.
GitHub indique avoir supprimé l’extension concernée, isolé le poste compromis et procédé à la rotation de plusieurs clés d’accès afin de limiter les risques d’exploitation supplémentaires.