Un employé de chez GitHub a installé une extension Visual Studio Code malveillante sur son ordinateur et cela a eu des conséquences : les pirates ont pu mettre la main sur environ 3 800 dépôts de code internes. Voici ce que l’on sait sur ce nouvel incident de sécurité.

Une extension VS Code au cœur de la compromission

Dans une communication officielle sur le réseau social X, GitHub a pris la parole pour évoquer un incident de sécurité : “Nous enquêtons sur un accès non autorisé aux dépôts internes de GitHub. Hier, nous avons détecté et contenu la compromission d’un appareil appartenant à un employé, impliquant une extension VS Code piégée.”

Dès la détection de la menace, les équipes de sécurité sont intervenues pour tenter de limiter la portée de l’incident. De premières actions de remédiation ont notamment été effectuées : “Nous avons supprimé la version malveillante de l’extension, isolé le point de terminaison et lancé la réponse à incident immédiatement.”, peut-on lire sur X. En complément, les équipes de GitHub ont procédé à la rotation des secrets les plus critiques.

Même si les investigations sont en cours actuellement, cette cyberattaque aurait permis aux cybercriminels de voler les données de dépôts internes. Il serait question d’environ 3 800 dépôts, ce qui n’est pas anodin.

Même si GitHub n’attribue pas encore cet incident à un groupe spécifique, il s’agirait d’un nouveau coup du groupe de pirates TeamPCP. En effet, le mardi 19 mai 2026, TeamPCP a publié un message pour évoquer le vol d’environ 4 000 dépôts privés appartenant à GitHub.

De son côté, GitHub a indirectement confirmé ces allégations : “Notre évaluation actuelle est que l’activité a impliqué l’exfiltration de dépôts internes à GitHub uniquement. Les revendications actuelles de l’attaquant concernant environ 3 800 dépôts sont globalement cohérentes avec notre enquête jusqu’à présent.”

Désormais, les données sont à vendre et les pirates de TeamPCP espèrent en tirer au moins 50 000 dollars. “Si vous êtes intéressé, envoyez vos propositions à l’adresse ci-dessous. Nous ne prenons pas en considération les offres inférieures à 50 000 euros ; c’est la meilleure offre qui l’emportera.”, ont-ils précisé sur le Dark Web.

Les données des clients sont-elles impactées ?

C’est une préoccupation légitime : de nombreuses entreprises et développeurs qui hébergent leurs projets sur GitHub se demandent si leurs données sont impactées. En effet, GitHub héberge beaucoup de projets open source (avec du code accessible en mode public), mais il y a aussi beaucoup de dépôts privés.

Pour le moment, GitHub se veut rassurant mais les investigations sont en cours. Espérons qu’il n’y ait pas une mauvaise surprise à ce sujet. “Bien que nous n’ayons actuellement aucune preuve d’un impact sur les informations des clients stockées en dehors des dépôts internes de GitHub (comme les entreprises, les organisations et les dépôts de nos clients), nous surveillons de près notre infrastructure pour déceler toute activité consécutive.”, peut-on lire.

Il va falloir suivre la communication de GitHub dans les prochains jours, notamment sur ce feed X. Depuis plusieurs semaines, TeamPCP enchaîne les attaques sur la chaîne d’approvisionnement. Parmi les dernières victimes, il y a OpenAI en tant que victime collatérale de la campagne Mini Shai-Hulud.

Enfin, cet article est l’occasion de rappeler que ce n’est pas la première fois que ces extensions malveillantes pour VS Code sont distribuées par les pirates. À chaque fois, l’objectif est le même : dérober des identifiants et des données sensibles, comme c’est le cas ici. Reste à savoir quelle est l’extension malveillante impliquée dans le cadre de cette cyberattaque.