Violation de la sécurité de GitHub : CZ avertit les développeurs de cryptographie de faire pivoter immédiatement les clés API

Table des matières GitHub a lancé une enquête de sécurité complète suite à la découverte d'un accès non autorisé à ses référentiels de code interne. L’incident de sécurité provient d’une extension VS Code compromise qui a infiltré le poste de travail d’un employé. 1/ Nous partageons des détails supplémentaires concernant notre enquête sur l'accès non autorisé aux référentiels internes de GitHub. Hier, nous avons détecté et contenu une compromission d'un appareil d'employé impliquant une extension VS Code empoisonnée. Nous avons supprimé la version de l'extension malveillante,… — GitHub (@github) 20 mai 2026 La plateforme appartenant à Microsoft a identifié et neutralisé la menace de sécurité mardi. Leur réponse a consisté à supprimer l'extension malveillante, à mettre en quarantaine le système compromis et à lancer immédiatement leur protocole de réponse aux incidents. La violation a donné lieu à un accès non autorisé à environ 3 800 référentiels de codes internes. GitHub a vérifié que ce numéro correspond aux déclarations faites par l'organisation cybercriminelle revendiquant la responsabilité. TeamPCP, un collectif de hackers, s'est présenté comme l'auteur de cet incident de sécurité. Le groupe commercialise activement les données exfiltrées sur des forums clandestins, alléguant la possession d’environ 4 000 référentiels contenant du code propriétaire provenant de l’infrastructure principale et des divisions internes de GitHub. Les chercheurs en sécurité caractérisent TeamPCP comme un acteur menaçant avancé utilisant une automatisation poussée pour cibler les environnements de développement, dans le but d’extraire des informations d’identification précieuses à des fins d’exploitation financière. Les rapports indiquent qu’ils demandent un prix plancher de 50 000 $ pour les informations compromises. L’enquête préliminaire de GitHub n’indique aucune preuve suggérant que les informations client hébergées en dehors de leurs référentiels internes ont été compromises. La plateforme garantit aux utilisateurs que les référentiels clients, les installations d'entreprise et les comptes organisationnels ne sont pas affectés. La plate-forme de développement a déjà parcouru les informations d'identification critiques, en concentrant les efforts initiaux sur les jetons d'accès les plus sensibles. Leurs équipes de sécurité continuent d’examiner les journaux système et de maintenir une surveillance vigilante pour déceler tout comportement malveillant ultérieur. GitHub s'est engagé à publier un rapport post-mortem complet à la fin de son enquête. Le fondateur de Binance, Changpeng Zhao, a publié une réponse rapide à la divulgation de sécurité. Il a fortement recommandé aux développeurs de crypto-monnaie de cycler immédiatement toutes les informations d'identification API intégrées dans le code source, en particulier celles des référentiels privés. "Si vous avez des clés API dans votre code, même dans des dépôts privés, il est maintenant temps de les vérifier et de les modifier", a déclaré Zhao. Les développeurs de crypto-monnaie dépendent largement de GitHub pour créer et maintenir des applications et des infrastructures décentralisées. Les informations d'identification de l'API Exchange, les clés d'accès au portefeuille et les jetons d'authentification d'infrastructure sont fréquemment intégrés dans des référentiels pour être déployés dans des systèmes de trading automatisés, des applications blockchain et des outils de développement. Les professionnels de la cybersécurité conseillent aux développeurs d'effectuer des analyses approfondies des secrets intégrés à l'aide d'outils spécialisés tels que GitHub Secret Scanning, gitleaks ou Trivy. Ils recommandent également fortement d’abandonner la pratique consistant à coder en dur les informations d’identification sensibles directement dans des référentiels à version contrôlée. Cet incident de sécurité fait suite à une compromission distincte chez Grafana Labs, qui a révélé mardi une attaque contre la chaîne d'approvisionnement. Les auteurs de la menace ont pénétré leur infrastructure GitHub et émis des demandes d'extorsion, auxquelles l'entreprise a refusé de répondre. La compromission GitHub apparaît également peu après la révélation, le 28 avril, d'une grave vulnérabilité de sécurité, CVE-2026-3854. Cette faille particulière a permis à des utilisateurs authentifiés d’exécuter des commandes non autorisées sur l’infrastructure serveur de GitHub et a potentiellement compromis des millions de référentiels de codes publics et privés. GitHub a déclaré qu'il maintiendrait une surveillance continue de son infrastructure technologique et fournirait des mises à jour continues tout au long du processus d'enquête.