Le 20 mai, GitHub a publié sur X une mise à jour de son enquête sur un incident de sécurité, confirmant qu’un employé s’est fait compromettre son équipement via une extension VS Code contenant un code malveillant, entraînant le vol d’environ 3 800 dépôts internes. GitHub indique qu’il n’y a aucune preuve que des informations clients stockées en dehors des dépôts de code internes de GitHub aient été affectées. GitHub a supprimé l’extension malveillante, isolé les terminaux touchés et fait une rotation des identifiants de sécurité clés.
Détails de l’incident de sécurité confirmés par GitHub
D’après la publication officielle sur X de GitHub confirmant :
Périmètre touché : environ 3 800 dépôts internes de GitHub (le nombre revendiqué par l’attaquant est globalement cohérent avec les résultats de l’enquête de GitHub)
Cause fondamentale : compromission de l’équipement de l’employé
Vecteur d’attaque : extension VS Code injectée avec un code malveillant (attaque de la chaîne d’approvisionnement des développeurs)
Impact client : GitHub confirme une « fuite strictement limitée aux informations stockées dans les dépôts de code internes de GitHub », et ne trouve aucune preuve d’un impact sur les données clients, les entreprises, les organisations ou les dépôts
Confirmation de l’auteur de la menace
D’après les révélations du Dark Web Informer (cabinet de renseignement sur les menaces) : l’acteur malveillant, alias TeamPCP, a publié dans le darknet des informations produit concernant la vente du code source interne de GitHub et des données d’organisation avant l’annonce de GitHub. H2S Media rapporte que TeamPCP et l’organisation derrière le logiciel malveillant du ver Shai-Hulud sont la même organisation : ce malware a récemment provoqué une infection généralisée dans des bibliothèques open source.
Mesures de réponse prises
D’après la déclaration officielle de GitHub confirmant :
Fait : suppression de la mauvaise extension VS Code, isolement des terminaux touchés, rotation prioritaire des identifiants de sécurité clés ayant le plus d’impact (achevé le jour même et en soirée de la découverte de l’incident)
En cours : analyse des journaux, vérification de la rotation des identifiants, surveillance des activités ultérieures, enquête complète de réponse à l’incident
Planifié : publication du rapport complet après la fin de l’enquête ; si un impact plus large est identifié, notification des clients via les canaux existants de réponse aux incidents
Contexte de confirmation des récents incidents de sécurité de GitHub
D’après la chronologie récente confirmée par H2S Media :
Il y a trois semaines : des chercheurs de Wiz ont dévoilé la CVE-2026-3854, une vulnérabilité critique d’exécution de code à distance (RCE) permettant à tout utilisateur authentifié d’exécuter n’importe quelle commande sur les serveurs backend de GitHub via une simple commande git push
La semaine dernière : le dépôt GitHub de SailPoint a été compromis à cause d’une vulnérabilité d’une application tierce
17 mai 2026 : Grafana Labs a confirmé une fuite de jetons GitHub ; l’acteur malveillant a obtenu des droits d’accès aux dépôts et a tenté de faire du chantage
FAQ
Cette intrusion a-t-elle affecté les dépôts publics de GitHub ou les dépôts des utilisateurs ?
D’après la déclaration officielle de GitHub, la fuite de données « est strictement limitée aux informations contenues dans les dépôts internes de GitHub » ; à ce jour, aucune preuve ne montre que des données clients, des entreprises, des organisations ou des dépôts aient été affectés. Les systèmes destinés aux clients n’ont pas été touchés.
Quel est le vecteur d’entrée de cette attaque, et comment s’en prémunir ?
D’après GitHub, le vecteur est une extension VS Code contenant du code malveillant, relevant d’une attaque de la chaîne d’approvisionnement des développeurs. Le fondateur de Binance, CZ, recommande : « les clés API dans les dépôts privés doivent être examinées et remplacées immédiatement ».
Quand GitHub publiera-t-il le rapport complet de l’incident ?
D’après la déclaration officielle de GitHub, le rapport complet sera publié après la fin de l’enquête, mais la date précise n’a pas encore été annoncée.
