Cryptonews

Violation de GitHub attribuée à une extension VS Code empoisonnée

Source
CryptoNewsTrend
Published
Violation de GitHub attribuée à une extension VS Code empoisonnée

La société de dépôt de codes en ligne GitHub affirme qu'une récente violation de ses données internes provient du téléchargement par un membre du personnel d'une extension VS Code « empoisonnée ».

La société appartenant à Microsoft a révélé pour la première fois tôt ce matin qu'elle enquêtait sur un accès non autorisé à ses référentiels internes.

Depuis lors, GitHub a déclaré que la violation n’affectait que les référentiels internes de GitHub.

Il a ajouté : « Les affirmations actuelles de l’attaquant concernant environ 3 800 référentiels sont cohérentes avec notre enquête jusqu’à présent. »

La violation implique une extension VS Code malveillante téléchargée depuis le marché des extensions VS Code de Microsoft. VS Code signifie Visual Studio Code et le marché propose divers outils et applications que les éditeurs de code peuvent télécharger.

1/ Nous partageons des détails supplémentaires concernant notre enquête sur l'accès non autorisé aux référentiels internes de GitHub. Hier, nous avons détecté et contenu une compromission d'un appareil d'un employé impliquant une extension VS Code empoisonnée. Nous avons supprimé la version de l'extension malveillante,…

– GitHub (@github) 20 mai 2026

GitHub a déclaré qu’il « publierait un rapport plus complet une fois l’enquête terminée ».

Le groupe de piratage qui prétend avoir violé les référentiels de GitHub est TeamPCP, qui a été lié à l'attaque de la chaîne d'approvisionnement Mini Shai Halud qui a touché OpenAI, ainsi qu'à un certain nombre d'autres attaques de la chaîne d'approvisionnement ciblant les logiciels de développement.

Le groupe vend les quelque 4 000 dépôts privés sur le forum de piratage Breached pour pas moins de 50 000 dollars, tout en soulignant qu'il n'acceptera aucune « offre à bas prix ».

Il disait : « Ce n’est pas une rançon, nous ne nous soucions pas d’extorquer GitHub. » Les données de son côté seront censées être « déchiquetées » après la vente, et si elle ne trouve pas d’acheteur, TeamPCP a déclaré qu’elle divulguerait les données gratuitement.

GitHub dit avoir supprimé « l’extension malveillante »

GitHub affirme avoir « supprimé la version de l’extension malveillante, isolé le point de terminaison et commencé immédiatement la réponse aux incidents ».

"Les secrets critiques ont été échangés hier et du jour au lendemain, les informations d'identification ayant le plus grand impact étant prioritaires", a déclaré la société, ajoutant qu'elle continuerait à surveiller la situation.

L’accueil réservé à l’incident n’a pas été indulgent. Les utilisateurs ont noté des plaintes de longue date contre d'anciens dirigeants de Microsoft et de GitHub qui demandaient des solutions aux téléchargements de logiciels malveillants sur le marché des extensions VS Code.

pouvez-vous résoudre le problème des personnes déployant des logiciels malveillants sur le marché des extensions vscode ? J'en ai marre d'envoyer des mails chaque semaine à [email protected], répare ton putain de marché

– Cracovie (@krakovia_evm) 19 décembre 2024

Cette plainte a été déposée contre l’ancien PDG de GitHub il y a deux ans.

L'ancien PDG de Binance, Changpeng Zhao, a averti : « Si vous avez des clés API dans votre code, même des dépôts privés, il est maintenant temps de les vérifier et de les modifier… »

Le PDG de la société de codage Treehouse, Ryan Carson, a également averti : « Si vous avez des dépôts privés contenant des secrets en texte brut ou des documents/architectures sensibles, alternez immédiatement vos secrets. »

L'expert en sécurité cryptographique Taylor Monahan a ajouté à la déclaration de Zhao et a déclaré que vous devriez retirer vos clés API « de vos dépôts ».

"Votre plus grand risque n'est pas celui-ci. Ce sont vos propres développeurs qui sont touchés par l'une de ces putains de chaînes d'approvisionnement vermifuges et qui divulguent tous ces secrets", a déclaré Monahan.

Deuxième fuite de GitHub en quelques jours

La société de logiciels Grafana a également affirmé plus tôt cette semaine avoir été témoin d'un accès non autorisé à ses référentiels GitHub.

Il affirme que les attaquants « ont téléchargé notre base de code » avant d’émettre « une demande de rançon sous la menace de divulgation de données ».

⚠️ Le 16 mai 2026, nous avons confirmé une attaque ciblée par un groupe de cybercriminalité qui a obtenu un accès non autorisé à nos référentiels GitHub et téléchargé notre base de code. Voici la dernière mise à jour de nos enquêtes. https://t.co/C2btjWDOxu

–Grafana (@grafana) 19 mai 2026

Dans ce cas, Grafana affirme que la violation découle également de l'attaque de la chaîne d'approvisionnement associée à la campagne Mini Shai-Hulud.

Il a déclaré: "Nous avons effectué une analyse et effectué une rotation rapide d'un nombre important de jetons de flux de travail GitHub, mais un jeton manqué a permis aux attaquants d'accéder à nos référentiels GitHub. Un examen ultérieur a confirmé qu'un flux de travail GitHub spécifique que nous pensions initialement non affecté avait, en fait, été compromis. "

En 2024, les mots de passe divulgués et le code du site provenant de Binance étaient visibles sur GitHub pendant des mois avant d'être finalement supprimés.

La bourse a déclaré que les fuites étaient susceptibles de causer « de graves préjudices financiers » et que le téléchargement de ses données n’avait jamais été autorisé.

Protos a contacté GitHub pour commentaires et mettra à jour cet article si nous entendons quelque chose en réponse.