GitHub enquête sur une intrusion dans ses dépôts internes, après que le groupe de pirates TeamPCP a affirmé avoir accédé à environ 4 000 dépôts qui contenaient du code privé.
La plateforme de développement en ligne de GitHub est utilisée par plus de 4 millions d’organisations, dont 90% des entreprises du Fortune 100, et par plus de 180 millions de développeurs. Ces utilisateurs contribuent à plus de 420 millions de dépôts de code.
La société n’a pas encore divulgué plus d’informations sur cette enquête, mais elle indique qu’elle ne possède actuellement aucune preuve que les données des clients, stockées ailleurs que dans ses dépôts internes, ont été affectées.
GitHub a déclaré : « Nous enquêtons sur un accès non autorisé aux dépôts internes de GitHub. Nous n’avons à ce stade aucune indication d’un impact sur les informations des clients qui sont stockées ailleurs que dans nos dépôts internes, comme les entreprises, les organisations et les dépôts de nos clients. Nous surveillons avec attention notre infrastructure pour toute activité complémentaire. »
GitHub a aussi précisé que tous les clients concernés seront alertés via les canaux habituels de notification et de réponse aux incidents, si une preuve d’impact est découverte.
TeamPCP a annoncé avoir accédé au « code source de GitHub et à ses organisations internes » sur le forum clandestin Breached ce mardi. Le groupe demande au moins 50 000 dollars.
Les pirates ont écrit : « Nous n’acceptons aucune offre trop basse. Tout le code du principal de la plateforme est là. Je suis très heureux d’envoyer des échantillons aux acheteurs intéressés pour vérifier l’authenticité absolue. Il y a un total d’environ 4 000 dépôts de code privé ici. Comme toujours, ceci n’est pas une rançon. Nous ne cherchons pas à extorquer GitHub. Un seul acheteur et nous détruisons les données chez nous. Il semble que notre retraite est proche, donc si aucun acheteur se présente, nous le divulguerons gratuitement. Si vous êtes intéressé, envoyez vos offres via les communications ci-dessous. Nous ne sommes pas intéressés par moins de 50k. La meilleure offre l’obtiendra. »
TeamPCP a déjà été associé à des attaques par chaîne d’approvisionnement qui visaient plusieurs plateformes de code de développeurs, dont GitHub, PyPI, NPM, et Docker.
En mars, le groupe de pirates a aussi compromis le scanner de vulnérabilités Trivy d’Aqua Security. Cet incident semble avoir entraîné des compromissions en cascade qui ont affecté les images Docker d’Aqua Security et le projet KICS de Checkmarx.
L’intrusion dans Trivy a aussi touché la bibliothèque Python open-source LiteLLM lors d’une attaque qui a infecté des dizaines de milliers d’appareils avec son malware « TeamPCP Cloud Stealer », spécialisé dans la collecte d’informations.
Plus récemment, le gang cybercriminel a aussi été lié à la campagne par chaîne d’approvisionnement « Mini Shai-Hulud », qui a impacté les appareils de deux employés d’OpenAI. Le groupe a aussi menacé de divulguer le code source de Mistral AI, qu’il a volé en utilisant des identifiants CI/CD compromis.