GitHub a confirmé une faille de sécurité après avoir détecté une attaque sur ses dépôts internes. Selon les informations publiées par la plateforme, des cybercriminels auraient accédé à des données après avoir exploité un appareil infecté appartenant à un employé. Des annonces circulent déjà en ligne, affirmant que des fragments du code source de GitHub sont en possession de ces fragments et proposés à la vente. L'entreprise a annoncé avoir détecté un accès non autorisé à certains référentiels internes. Selon le communiqué officiel, le problème provenait d'un appareil infecté appartenant à un employé. GitHub a indiqué qu'après la détection de l'incident, le terminal infecté a été immédiatement isolé et des mesures d'atténuation ont été mises en œuvre. La plateforme précise également que les premières constatations montrent que l'étendue de la brèche est limitée. Selon les analyses préliminaires, le cybercriminel a accédé à environ 3 800 dépôts, principalement liés aux projets antérieurs de l'entreprise. Dans le même temps, GitHub assure que des investigations et une surveillance accrues des systèmes afin de détecter d'éventuelles activités parallèles sont en cours. « Hier, nous avons détecté et neutralisé une attaque sur l'appareil d'un employé impliquant une extension VS Code infectée. Nous avons supprimé la version malveillante de l'extension, isolé le terminal et immédiatement lancé une intervention », a déclaré l'entreprise.

L'affaire a pris de l'ampleur suite à des messages publiés sur des forums de cybercriminalité. L'auteur présumé de l'attaque a annoncé être en possession de données relatives à près de 4 000 dépôts GitHub. D'après les informations disponibles, le prix demandé pour accéder aux données s'élevait à au moins 50 000 dollars. Des captures d'écran de conversations et de publications suggérant que des cybercriminels auraient pu accéder au code source de la plateforme ont également fait surface en ligne. Dans un message publié, l'attaquant aurait écrit : « Nous ne cherchons pas à extorquer GitHub. » Un autre message laissait entendre que le groupe prévoyait de se « dissoudre » si les données acquises étaient vendues avec succès. On ignore encore quelle proportion des informations publiées est authentique. « Notre évaluation actuelle indique que cette activité s'est limitée à l'exfiltration de dépôts GitHub internes. Les affirmations actuelles de l'attaquant concernant environ 3 800 dépôts concordent avec les résultats de notre enquête à ce jour. »

GitHub a également signalé que l'incident était lié à une extension malveillante pour Visual Studio Code. C'est cette extension qui aurait été installée sur l'appareil d'un employé et qui aurait permis de compromettre l'accès à une partie de l'infrastructure. Les extensions VS Code sont des modules complémentaires installables depuis le VS Code Marketplace (la boutique officielle d'extensions pour l'éditeur de code de Microsoft) afin d'ajouter des fonctionnalités ou d'intégrer des outils à l'éditeur. L'entreprise a indiqué que l'extension défectueuse a été supprimée et que l'ordinateur infecté a été déconnecté du réseau. GitHub procède également au renouvellement des jetons de sécurité et analyse les journaux système. Les experts en cybersécurité alertent depuis longtemps sur le fait que les extensions pour logiciels populaires deviennent une cible de plus en plus prisée par les cybercriminels. Les développeurs les installent en masse, souvent sans vérifier scrupuleusement leurs auteurs et leurs sources.

Les attaques contre les environnements de développement figurent parmi les menaces les plus dangereuses auxquelles est confrontée l'industrie technologique aujourd'hui. La compromission de l'accès aux dépôts de code, aux jetons d'API ou aux outils CI/CD peut ouvrir la voie à des violations de données plus importantes touchant des milliers d'entreprises utilisant les mêmes logiciels. Ces derniers mois, on a beaucoup parlé de paquets Python infectés, de fausses bibliothèques open source et de campagnes de logiciels malveillants ciblant les développeurs utilisant GitHub ou VS Code. Les cybercriminels savent parfaitement qu'un seul compte développeur compromis peut conduire à des attaques beaucoup plus importantes touchant des chaînes d'approvisionnement logicielles entières. La plateforme prévoit de publier un rapport plus complet une fois l'enquête terminée. L'entreprise indique qu'à l'heure actuelle, rien ne prouve que l'attaque se soit propagée au-delà des dépôts désignés, mais l'incident fait toujours l'objet d'une enquête.