GitHub a confirmé qu’environ 3 800 dépôts internes ont été compromis après qu’un de ses employés a installé une extension malveillante pour VS Code.
La société a depuis retiré l’extension piégée, qui n’a pas été nommée, de la place de marché de VS Code et a sécurisé l’appareil compromis.
« Hier, nous avons détecté et contenu une compromission sur un appareil d’employé qui impliquait une extension VS Code empoisonnée. Nous avons supprimé la version malveillante de l’extension, isolé le terminal et lancé immédiatement notre réponse à incident », a déclaré l’entreprise.
« Notre évaluation actuelle indique que l’activité n’a impliqué que l’exfiltration de dépôts internes à GitHub. Les affirmations actuelles de l’attaquant concernant environ 3 800 dépôts sont globalement cohérentes avec notre enquête jusqu’à présent. »
Cette annonce fait suite à une déclaration de GitHub faite mardi soir, dans laquelle la société indiquait enquêter sur des allégations d’accès non autorisé à ses dépôts internes et ajoutait qu’elle n’avait aucune preuve que les données client stockées en dehors des dépôts affectés aient été touchées.
Alors que GitHub n’a pas encore attribué cette intrusion, le groupe de pirates TeamPCP a revendiqué mardi l’accès au code source de GitHub et à « environ 4 000 dépôts de code privé » sur le forum cybercriminel Breached, en demandant au moins 50 000 dollars pour les données volées.
« Comme toujours, ce n’est pas une rançon. Nous ne nous soucions pas d’extorquer GitHub. Un acheteur et nous détruisons les données de notre côté. Il semble que notre retraite soit proche, donc si aucun acheteur n’est trouvé, nous les divulguerons gratuitement », ont déclaré les cybercriminels. « Si vous êtes intéressé, envoyez vos offres via les communications ci-dessous. Nous ne sommes pas intéressés par moins de 50 000 dollars. La meilleure offre l’obtiendra. »
Le groupe TeamPCP a déjà été associé à de vastes attaques par chaîne d’approvisionnement qui ciblaient des plateformes de code pour développeurs, dont GitHub, PyPI, NPM et Docker, et, plus récemment, à la campagne par chaîne d’approvisionnement « Mini Shai-Hulud » qui a aussi touché deux employés d’OpenAI.
Les extensions VS Code sont des plugins que l’on peut installer depuis la place de marché de VS Code, la boutique officielle pour les modules complémentaires de l’éditeur de code de Microsoft, afin d’ajouter des fonctionnalités ou d’intégrer des outils dans l’éditeur.
Ce n’est pas la première fois qu’une extension VS Code piégée est repérée sur la place de marché. Plusieurs autres extensions malveillantes, avec des millions d’installations, ont été utilisées ces dernières années pour voler les identifiants des développeurs et d’autres données sensibles.
Par exemple, l’année dernière, des extensions VSCode totalisant 9 millions d’installations ont été retirées en raison de risques de sécurité, et 10 autres, qui se faisaient passer pour des outils de développement légitimes, ont infecté les utilisateurs avec le cryptomineur XMRig.
Plus tard dans l’année, une extension malveillante dotée de capacités ransomware basiques s’est faufilée sur la place de marché de VS Code après qu’un acteur de menace nommé WhiteCobra l’a inondée avec 24 extensions volant des cryptomonnaies.
Plus récemment, en janvier, deux extensions malveillantes présentées comme des assistants de codage basés sur l’intelligence artificielle et cumulant 1,5 million d’installations, ont exfiltré des données depuis les systèmes de développeurs compromis vers des serveurs en Chine.
La plateforme cloud de GitHub est désormais utilisée par plus de 4 millions d’organisations, dont 90 % des entreprises du Fortune 100, et par plus de 180 millions de développeurs qui contribuent à plus de 420 millions de dépôts de code.