DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • DCOD Signalement des failles dIA
    Signalement des failles d’IA : FLARE-AI propose sa solution
  • Illustration pour la veille cybercriminalité et crypto : une paire de menottes en métal repose sur un clavier d'ordinateur au premier plan. En arrière-plan sombre, une silhouette de hacker encapuchonné fait face à un réseau lumineux d'icônes de cryptomonnaies interconnectées, incluant les symboles du Bitcoin et de l'Ethereum, dans des teintes bleues et rouges.
    Cybercriminalité : les 11 opérations et arrestations du 10 juillet 2026
  • Une photographie de studio nette montrant deux mains portant des gants de boxe s'affrontant sur un fond gris neutre. La main gauche porte un gant de boxe blanc avec trois bandes fuchsia fuchsia, associée au logo étoile orange et au texte 'Claude' superposé. La main droite porte un gant de boxe noir uni, associée au logo vagues stylisées et au texte 'Alibaba' superposé. Les deux paires se font face dans un geste d'affrontement ou de combat symbolique. Le filigrane 'dcod.ch' est en bas à droite. Les logos et textes sont clairs.
    Alibaba bannit Claude Code après la découverte d’un mouchard
  • Illustration pour la veille sur les fuites de données : une silhouette de hacker encapuchonné dans l'ombre, sur fond de code informatique bleu, est traversée par des faisceaux lumineux diagonaux orange intenses évoquant une alerte de sécurité ou une brèche active.
    Fuites de données : les 12 incidents majeurs au 9 juillet 2026
  • Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
    Le spyware Pegasus pirate le téléphone d’un enquêteur européen
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Cyber-attaques / fraudes
  • À la une

TeamPCP réclame 50’000 dollars pour 3800 dépôts de code GitHub

  • Marc Barbezat
  • 26 mai 2026
  • 4 minutes de lecture
Illustration de la cyberattaque où le groupe TeamPCP réclame 50 000 dollars après le vol de 3800 dépôts de code GitHub. Sur un fond violet et orange affichant des lignes de code informatique et du binaire, un logo blanc de crâne de pirate fait face au logo blanc de GitHub, avec la signature du média dcod.ch en bas à droite.
Après l’installation d’un outil corrompu par un salarié, la chaîne d’approvisionnement logicielle prouve sa dangerosité en exposant le code de GitHub.

TL;DR : L’essentiel

  • Un acteur malveillant a dérobé environ 3800 dépôts de code internes de GitHub en piratant la machine d’un collaborateur à l’aide d’une extension vérolée.
  • L’extension compromise, Nx Console, est restée disponible moins de 20 minutes sur la boutique officielle de Microsoft avant d’être détectée et retirée de la plateforme.
  • Cette intrusion découle d’une réaction en chaîne ayant débuté par l’attaque de la bibliothèque TanStack, permettant aux pirates de récupérer des identifiants de publication légitimes.
  • Le groupe de cybercriminels TeamPCP réclame un paiement minimum de 50 000 dollars sur un forum spécialisé sous peine de divulguer gratuitement l’intégralité des fichiers volés.
▾ Sommaire
TL;DR : L’essentielUne chaîne d’approvisionnement infiltrée par un piratage en cascadeLe piège silencieux d’une mise à jour de 18 minutesPoint d’AttentionLa confiance aveugle envers les extensions de développementQuestions fréquentes sur le piratage de GitHubComment les attaquants ont-ils réussi à s’introduire dans les systèmes de GitHub ?Quel est l’impact réel de ce piratage pour les utilisateurs de GitHub ?Qu’est-ce que le groupe de cybercriminels TeamPCP exige en échange des données ?Pourquoi les extensions d’éditeurs de code représentent-elles un tel danger pour la sécurité ?Pour approfondir le sujet

La sécurité des environnements de développement repose sur une confiance souvent encore trop forte envers les outils et les codes largement adoptés. Le récent incident subi par GitHub, la plus grande plateforme d’hébergement de code au monde, en est l’illustration la plus flagrante. En installant une mise à jour compromise, un employé a involontairement ouvert les portes des systèmes internes de l’entreprise au groupe criminel TeamPCP.

Une chaîne d’approvisionnement infiltrée par un piratage en cascade

La chaîne d’approvisionnement logicielle subit une pression croissante de la part de groupes criminels organisés. L’attaque contre GitHub découle directement d’une campagne de sabotage informatique ayant débuté par l’altération de paquets liés à la bibliothèque TanStack et à Mistral AI. Grâce à des identifiants de publication dérobés, les pirates ont pu modifier l’extension Nx Console sur le magasin officiel de Microsoft Visual Studio Code, un outil de développement très populaire. Tout a commencé par la compromission de cette bibliothèque, comme le détaille BleepingComputer.

Ce logiciel tiers, normalement destiné à simplifier la gestion des grands projets de programmation sans recourir à des commandes textuelles complexes, a été modifié pour inclure une charge malveillante. D’après les informations rapportées par The Register, cette extension piégée a permis d’exfiltrer près de 3800 dépôts internes contenant des codes propriétaires et des fichiers organisationnels sensibles.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Le piège silencieux d’une mise à jour de 18 minutes

L’analyse technique de l’incident révèle la vitesse d’action redoutable des attaquants. La version corrompue de l’extension n’est restée en ligne que 18 minutes sur le marché officiel de Microsoft, et environ 35 minutes sur la plateforme OpenVSX. Pourtant, ce court laps de temps a suffi pour que le code malveillant soit téléchargé par 28 utilisateurs sur le magasin de Microsoft et 41 sur OpenVSX, dont un ingénieur de GitHub.

Pour tromper la vigilance des développeurs, l’extension compromise imitait à s’y méprendre le fonctionnement normal de Nx Console, mais exécutait en réalité une commande système furtive se faisant passer pour une tâche de configuration courante du protocole de modèle de contexte, ou MCP. Ce mécanisme invisible téléchargeait un paquet caché depuis un dépôt légitime pour siphonner les jetons d’accès et les secrets stockés sur la machine, compromettant les coffres-forts 1Password et les configurations d’outils d’intelligence artificielle comme Claude Code. Comme le souligne l’analyse de SOCRadar, l’origine de l’intrusion ne provient pas d’une vulnérabilité critique de l’infrastructure mais d’un outil de programmation externe jugé fiable.

⚠️

Point d’Attention

L’essor des cyberattaques de la chaîne d’approvisionnement, décuplées par l’intelligence artificielle, marque un  véritable tournant où la confiance historique envers les éditeurs de référence devient une nouvelle vulnérabilité. En exploitant les flux de mise à jour automatique comme bras de levier, les attaquants transforment des outils légitimes en armes de diffusion massive. Ce nouveau paradigme nous impose d’abandonner les modèles de sécurité périmétrique au profit d’un contrôle en temps réel et d’une architecture zéro confiance, seuls remparts capables de détecter immédiatement des comportements anormaux au sein de nos environnements informatiques.

Marc Barbezat
Marc Barbezat
Éditeur de DCOD — Cyber, IA & Tech

La confiance aveugle envers les extensions de développement

Une chaîne d’approvisionnement est particulièrement vulnérable lorsque les mécanismes de mise à jour automatique sont activés par défaut. Les éditeurs de code modernes comme Visual Studio Code ou Cursor installent les nouvelles versions sans validation préalable de l’utilisateur. Si cette fonctionnalité évite de conserver des utilitaires obsolètes, elle offre aux attaquants un canal de distribution direct vers les machines de développement dès qu’un compte d’éditeur est compromis.

L’impact de ce piratage met en lumière des failles de sécurité structurelles. Selon The Hacker News, les privilèges accordés aux extensions sont identiques à ceux de l’éditeur lui-même, leur donnant un accès complet aux données de la machine. De plus, comme le rappelle Dark Reading, le groupe TeamPCP utilise fréquemment ce type de vecteur de confiance pour s’infiltrer dans les réseaux d’entreprises, ayant déjà ciblé par le passé d’autres utilitaires et bibliothèques logicielles comme l’outil d’analyse de vulnérabilités Trivy de la société Aqua Security.

En réaction à l’incident, GitHub a procédé au renouvellement rapide de l’ensemble de ses clés de sécurité et secrets d’authentification stratégiques pour bloquer toute tentative d’intrusion ultérieure. Les analyses menées en collaboration avec des experts en informatique légale confirment qu’aucune donnée client ou dépôt hébergé par des tiers n’a été touché, l’impact étant circonscrit aux codes internes de la filiale de Microsoft. Bien que le groupe d’attaquants menace de publier gratuitement ces milliers de dépôts si aucun acheteur ne débourse les 50 000 dollars demandés, comme le rapporte The Next Web, cette affaire pousse désormais l’industrie du logiciel libre à repenser la sécurité de la distribution de ses outils de programmation.

Questions fréquentes sur le piratage de GitHub

Comment les attaquants ont-ils réussi à s’introduire dans les systèmes de GitHub ?

Les pirates ont exploité une faille de confiance dans les outils de développement en publiant une version compromise de l’extension Nx Console sur la boutique officielle de Microsoft. Un développeur de GitHub a installé cette version vérolée, ce qui a permis aux attaquants de prendre le contrôle de son poste et de dérober des identifiants d’accès.

Quel est l’impact réel de ce piratage pour les utilisateurs de GitHub ?

Les données des clients et les dépôts de code hébergés par des entreprises tierces ne sont pas affectés par cet incident. Les investigations de l’équipe de sécurité confirment qu’aucune exfiltration ne concerne les données des clients, l’impact se limitant aux codes sources internes et aux extraits d’interactions de support.

Qu’est-ce que le groupe de cybercriminels TeamPCP exige en échange des données ?

Le groupe criminel n’a pas formulé de demande de rançon ni tenté d’extorquer l’entreprise directement. Les pirates proposent l’intégralité du code dérobé à la vente pour un montant minimum de 50 000 dollars à un acheteur unique sur un forum spécialisé, menaçant de le diffuser publiquement s’ils ne trouvent pas preneur.

Pourquoi les extensions d’éditeurs de code représentent-elles un tel danger pour la sécurité ?

Les extensions installées dans des environnements de développement comme Visual Studio Code s’exécutent avec les mêmes privilèges d’accès que l’éditeur lui-même. De plus, la mise à jour automatique de ces modules permet aux pirates de diffuser instantanément une charge malveillante sur les machines cibles dès qu’ils prennent le contrôle d’un compte de développeur d’extension.

Pour approfondir le sujet

Faille critique dans GitHub Copilot : vol de codes privés via une attaque CVSS 9.6

Faille critique dans GitHub Copilot : vol de codes privés via une attaque CVSS 9.6

dcod.ch

Une faille CVSS 9.6 dans GitHub Copilot a permis le vol de codes privés via contournement de sécurité et injection de commandes à distance. Lire la suite

npm et GitHub : riposte renforcée face aux attaques sur l’open source

npm et GitHub : riposte renforcée face aux attaques sur l’open source

dcod.ch

GitHub réagit aux menaces sur npm avec des mesures de sécurité renforcées. Découvrez comment ces actions protègent l'écosystème open source. Lire la suite

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes
  • GitHub CLI
  • Nx Console
  • Shai-Hulud
  • TanStack
  • TeamPCP
  • VS Code Marketplace
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
Lire l'article

Le spyware Pegasus pirate le téléphone d’un enquêteur européen

Illustration d'un centre de commandement cyber pour l'alliance Five Eyes. Un opérateur est vu de dos face à un mur d'écrans de sécurité. Au centre, une carte mondiale projetée avec cinq yeux numériques contenant les drapeaux des pays membres (USA, UK, CA, AU, NZ). Des visualisations de données de menaces IA et des codes cyber flottent dans l'air.
Lire l'article

Five Eyes : l’alliance alerte sur les menaces cyber de l’IA

Graphisme DCOD scindé en diagonale : à gauche, un bouclier de sécurité vert lumineux sur fond de code binaire ; à droite, un paysage de campagne helvétique sous un filtre rouge arborant la croix blanche suisse. Ce visuel illustre le fait que l'OFCS teste son modèle de cyberrésilience en conditions réelles.
Lire l'article

L’OFCS teste son modèle de cyberrésilience en conditions réelles

Des idées de lecture recommandées par DCOD

Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grâce à ce livre 2 en 1.

📘 Voir sur Amazon

Hacking pour débutant: Le guide complet pour débuter en cybersécurité

La plupart des gens pensent que le hacking est quelque chose de magique, ou que les hackers sont nés avec ce talent de pouvoir pénétrer dans les ordinateurs et les réseaux. Ce n'est pas vrai.

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois