Navigation
Les derniers articles
Suivez en direct

TeamPCP réclame 50’000 dollars pour 3800 dépôts de code GitHub

Illustration de la cyberattaque où le groupe TeamPCP réclame 50 000 dollars après le vol de 3800 dépôts de code GitHub. Sur un fond violet et orange affichant des lignes de code informatique et du binaire, un logo blanc de crâne de pirate fait face au logo blanc de GitHub, avec la signature du média dcod.ch en bas à droite.
Après l’installation d’un outil corrompu par un salarié, la chaîne d’approvisionnement logicielle prouve sa dangerosité en exposant le code de GitHub.

TL;DR : L’essentiel

  • Un acteur malveillant a dérobé environ 3800 dépôts de code internes de GitHub en piratant la machine d’un collaborateur à l’aide d’une extension vérolée.
  • L’extension compromise, Nx Console, est restée disponible moins de 20 minutes sur la boutique officielle de Microsoft avant d’être détectée et retirée de la plateforme.
  • Cette intrusion découle d’une réaction en chaîne ayant débuté par l’attaque de la bibliothèque TanStack, permettant aux pirates de récupérer des identifiants de publication légitimes.
  • Le groupe de cybercriminels TeamPCP réclame un paiement minimum de 50 000 dollars sur un forum spécialisé sous peine de divulguer gratuitement l’intégralité des fichiers volés.

La sécurité des environnements de développement repose sur une confiance souvent encore trop forte envers les outils et les codes largement adoptés. Le récent incident subi par GitHub, la plus grande plateforme d’hébergement de code au monde, en est l’illustration la plus flagrante. En installant une mise à jour compromise, un employé a involontairement ouvert les portes des systèmes internes de l’entreprise au groupe criminel TeamPCP.

Une chaîne d’approvisionnement infiltrée par un piratage en cascade

La chaîne d’approvisionnement logicielle subit une pression croissante de la part de groupes criminels organisés. L’attaque contre GitHub découle directement d’une campagne de sabotage informatique ayant débuté par l’altération de paquets liés à la bibliothèque TanStack et à Mistral AI. Grâce à des identifiants de publication dérobés, les pirates ont pu modifier l’extension Nx Console sur le magasin officiel de Microsoft Visual Studio Code, un outil de développement très populaire. Tout a commencé par la compromission de cette bibliothèque, comme le détaille BleepingComputer.

Ce logiciel tiers, normalement destiné à simplifier la gestion des grands projets de programmation sans recourir à des commandes textuelles complexes, a été modifié pour inclure une charge malveillante. D’après les informations rapportées par The Register, cette extension piégée a permis d’exfiltrer près de 3800 dépôts internes contenant des codes propriétaires et des fichiers organisationnels sensibles.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Le piège silencieux d’une mise à jour de 18 minutes

L’analyse technique de l’incident révèle la vitesse d’action redoutable des attaquants. La version corrompue de l’extension n’est restée en ligne que 18 minutes sur le marché officiel de Microsoft, et environ 35 minutes sur la plateforme OpenVSX. Pourtant, ce court laps de temps a suffi pour que le code malveillant soit téléchargé par 28 utilisateurs sur le magasin de Microsoft et 41 sur OpenVSX, dont un ingénieur de GitHub.

Pour tromper la vigilance des développeurs, l’extension compromise imitait à s’y méprendre le fonctionnement normal de Nx Console, mais exécutait en réalité une commande système furtive se faisant passer pour une tâche de configuration courante du protocole de modèle de contexte, ou MCP. Ce mécanisme invisible téléchargeait un paquet caché depuis un dépôt légitime pour siphonner les jetons d’accès et les secrets stockés sur la machine, compromettant les coffres-forts 1Password et les configurations d’outils d’intelligence artificielle comme Claude Code. Comme le souligne l’analyse de SOCRadar, l’origine de l’intrusion ne provient pas d’une vulnérabilité critique de l’infrastructure mais d’un outil de programmation externe jugé fiable.

⚠️

Point d’Attention

L’essor des cyberattaques de la chaîne d’approvisionnement, décuplées par l’intelligence artificielle, marque un  véritable tournant où la confiance historique envers les éditeurs de référence devient une nouvelle vulnérabilité. En exploitant les flux de mise à jour automatique comme bras de levier, les attaquants transforment des outils légitimes en armes de diffusion massive. Ce nouveau paradigme nous impose d’abandonner les modèles de sécurité périmétrique au profit d’un contrôle en temps réel et d’une architecture zéro confiance, seuls remparts capables de détecter immédiatement des comportements anormaux au sein de nos environnements informatiques.

La confiance aveugle envers les extensions de développement

Une chaîne d’approvisionnement est particulièrement vulnérable lorsque les mécanismes de mise à jour automatique sont activés par défaut. Les éditeurs de code modernes comme Visual Studio Code ou Cursor installent les nouvelles versions sans validation préalable de l’utilisateur. Si cette fonctionnalité évite de conserver des utilitaires obsolètes, elle offre aux attaquants un canal de distribution direct vers les machines de développement dès qu’un compte d’éditeur est compromis.

L’impact de ce piratage met en lumière des failles de sécurité structurelles. Selon The Hacker News, les privilèges accordés aux extensions sont identiques à ceux de l’éditeur lui-même, leur donnant un accès complet aux données de la machine. De plus, comme le rappelle Dark Reading, le groupe TeamPCP utilise fréquemment ce type de vecteur de confiance pour s’infiltrer dans les réseaux d’entreprises, ayant déjà ciblé par le passé d’autres utilitaires et bibliothèques logicielles comme l’outil d’analyse de vulnérabilités Trivy de la société Aqua Security.

En réaction à l’incident, GitHub a procédé au renouvellement rapide de l’ensemble de ses clés de sécurité et secrets d’authentification stratégiques pour bloquer toute tentative d’intrusion ultérieure. Les analyses menées en collaboration avec des experts en informatique légale confirment qu’aucune donnée client ou dépôt hébergé par des tiers n’a été touché, l’impact étant circonscrit aux codes internes de la filiale de Microsoft. Bien que le groupe d’attaquants menace de publier gratuitement ces milliers de dépôts si aucun acheteur ne débourse les 50 000 dollars demandés, comme le rapporte The Next Web, cette affaire pousse désormais l’industrie du logiciel libre à repenser la sécurité de la distribution de ses outils de programmation.

Questions fréquentes sur le piratage de GitHub

Comment les attaquants ont-ils réussi à s’introduire dans les systèmes de GitHub ?

Les pirates ont exploité une faille de confiance dans les outils de développement en publiant une version compromise de l’extension Nx Console sur la boutique officielle de Microsoft. Un développeur de GitHub a installé cette version vérolée, ce qui a permis aux attaquants de prendre le contrôle de son poste et de dérober des identifiants d’accès.

Quel est l’impact réel de ce piratage pour les utilisateurs de GitHub ?

Les données des clients et les dépôts de code hébergés par des entreprises tierces ne sont pas affectés par cet incident. Les investigations de l’équipe de sécurité confirment qu’aucune exfiltration ne concerne les données des clients, l’impact se limitant aux codes sources internes et aux extraits d’interactions de support.

Qu’est-ce que le groupe de cybercriminels TeamPCP exige en échange des données ?

Le groupe criminel n’a pas formulé de demande de rançon ni tenté d’extorquer l’entreprise directement. Les pirates proposent l’intégralité du code dérobé à la vente pour un montant minimum de 50 000 dollars à un acheteur unique sur un forum spécialisé, menaçant de le diffuser publiquement s’ils ne trouvent pas preneur.

Pourquoi les extensions d’éditeurs de code représentent-elles un tel danger pour la sécurité ?

Les extensions installées dans des environnements de développement comme Visual Studio Code s’exécutent avec les mêmes privilèges d’accès que l’éditeur lui-même. De plus, la mise à jour automatique de ces modules permet aux pirates de diffuser instantanément une charge malveillante sur les machines cibles dès qu’ils prennent le contrôle d’un compte de développeur d’extension.

Pour approfondir le sujet

Faille critique dans GitHub Copilot : vol de codes privés via une attaque CVSS 9.6

Faille critique dans GitHub Copilot : vol de codes privés via une attaque CVSS 9.6

dcod.ch

Une faille CVSS 9.6 dans GitHub Copilot a permis le vol de codes privés via contournement de sécurité et injection de commandes à distance. Lire la suite

npm et GitHub : riposte renforcée face aux attaques sur l’open source

npm et GitHub : riposte renforcée face aux attaques sur l’open source

dcod.ch

GitHub réagit aux menaces sur npm avec des mesures de sécurité renforcées. Découvrez comment ces actions protègent l'écosystème open source. Lire la suite

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grâce à ce livre 2 en 1.

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.