GitHub a reconnu avoir été la cible d'une cyberattaque ayant conduit à l'exfiltration de données internes. Selon les informations officielles communiquées par l'éditeur, l'incident a été provoqué par l'installation d'une extension malveillante de Visual Studio Code (VS Code) sur le poste de travail d'un employé.
L'alerte a été déclenchée après la détection d'une activité suspecte sur le terminal du collaborateur concerné. Les équipes de réponse aux incidents de GitHub sont immédiatement intervenues : le poste de travail a été isolé, la version malveillante de l'extension a été supprimée du store Microsoft, et l'ensemble des clés d'accès a été renouvelé en urgence pour empêcher toute exploitation ultérieure.
Dans une déclaration officielle, GitHub a précisé la nature des données dérobées : « Notre évaluation actuelle est que l'activité a concerné uniquement l'exfiltration de répertoires internes à GitHub. Les revendications actuelles de l'attaquant concernant environ 3 800 répertoires sont cohérentes avec notre enquête jusqu'à présent », a indiqué l'entreprise sur son compte officiel sur le réseau social X.
Une attaque par compromission de la chaîne d'approvisionnement
L'attaque repose sur une technique de compromission de la chaîne d'approvisionnement (supply chain). Un employé a installé une extension VS Code compromise, présente sur la place de marché officielle de l'éditeur Microsoft, ce qui a permis aux attaquants de s'infiltrer dans le réseau interne et d'exfiltrer des pans entiers du code source interne de GitHub.
Ce type d'incident met en lumière les risques liés à la dépendance aux extensions tierces, même lorsque celles-ci transitent par des stores officiels. La plateforme de développement, qui héberge des millions de projets logiciels, a vu ses propres répertoires exposés.
Un groupe de hackers revendique l'action
L'attaque a rapidement été revendiquée sur le forum de cybercriminalité Breached par un groupe opérant sous le pseudonyme de TeamPCP. Ce collectif, qui n'en est pas à son premier coup d'essai, aurait exigé une rançon de 50 000 dollars.
Pour l'heure, GitHub n'a pas communiqué sur d'éventuelles négociations avec les assaillants, ni sur l'impact exact de cette fuite sur ses clients et partenaires. L'enquête se poursuit pour déterminer l'étendue des données exfiltrées et les motivations précises des attaquants.
Une alerte pour l'écosystème du développement
Cet incident souligne la vulnérabilité des environnements de développement aux attaques ciblant les extensions d'IDE (environnement de développement intégré). Alors que VS Code est l'un des éditeurs de code les plus utilisés au monde, la compromission de son store officiel via une extension malveillante constitue un signal d'alarme pour l'ensemble de la communauté des développeurs.
Les experts en sécurité recommandent aux entreprises de renforcer la surveillance des extensions installées et d'auditer régulièrement les permissions accordées à ces outils. GitHub, de son côté, a déjà pris des mesures correctives immédiates et devrait publier ultérieurement un rapport détaillé sur les causes et les leçons de cet incident.
