Dans un message publié sur X, GitHub reconnait avoir été piraté. Plus exactement, la plateforme explique « enquêter sur un accès non autorisé aux dépôts internes de GitHub ». Les dépôts privés de ses clients ne semblent pas concernés : « Nous n’avons actuellement aucune preuve d’impact sur les informations client stockées en dehors des dépôts internes de GitHub », explique la plateforme.

GitHub se fait pirater à cause d’une extension VS Code

Dans un second temps, elle a précisé que la compromission venait « de l’appareil d’un employé avec une extension Visual Studio Code empoisonnée ». Les extensions peuvent être installées depuis le VS Code Marketplace, mais aussi via des boutiques tierces ou manuellement.

GitHub ne précise pas comment l’extension compromise avait été installée. La plateforme ne donne pas son nom et n’entre pas davantage dans les détails. L’extension a évidemment été supprimée et des mesures ont été prises pour limiter les dégâts.

La société affirme de nouveau que l’exfiltration des données ne concernait que des dépôts internes à l’entreprise. De plus, « les affirmations actuelles de l’attaquant concernant environ 3 800 dépôts sont globalement cohérentes avec les résultats de notre enquête jusqu’à présent », ajoute l’entreprise. Un rapport complet sera publié une fois l’enquête terminée.

TeamPCP revendique le piratage et demande 50 000 dollars

Quelques heures avant la publication du message de GitHub sur X, le groupe de pirates TeamPCP affirmait sur un forum spécialisé avoir accédé aux « codes source et organisations internes de GitHub ». Il était question d’environ 4 000 dépôts privés. TeamPCP demandait une rançon de 50 000 dollars, comme le rapporte Bleeping Computer.

Enfin, selon les pirates, ce n’est pas de l’extorsion : « Comme toujours, il ne s’agit pas d’une rançon. Nous ne cherchons pas à extorquer GitHub. Un seul acheteur et nous détruisons les données de notre côté. Notre retraite approche, donc si aucun acheteur n’est trouvé, nous les diffuserons gratuitement ».

Comme le rappellent nos confrères, TeamPCP est très actif ces derniers temps avec quelques prises importantes (revendiquées et/ou attribuées). C’est notamment le cas de Trivy/LiteLLM et de Xinference sur PyPI, avec des répercussions en cascade.

Dans le premier cas, la compromission de Trivy avait conduit au piratage de la Commission européenne fin mars : « Nous estimons avec un degré de confiance élevé que l’accès initial a été obtenu grâce à la compromission de la chaîne d’approvisionnement de Trivy, qui a été publiquement attribuée à un acteur malveillant connu sous le nom de TeamPCP », expliquait le CERT-EU.