Les pirates qui ont pénétré 3 800 dépôts internes de GitHub ont obtenu l’accès par le biais d’une version malveillante de l’extension Nx Console pour VS Code. Cette extension avait elle-même été compromise lors de l’attaque de la chaîne d’approvisionnement npm de la semaine dernière qui visait TanStack.
Les experts attribuent cette intrusion au groupe de menace TeamPCP. L’opération a débuté par la compromission de dizaines de packages npm de TanStack et de Mistral AI, puis s’est rapidement étendue à d’autres projets comme UiPath, Guardrails AI et OpenSearch. Les pirates ont utilisé des identifiants CI/CD volés pour cette propagation.
L’équipe de GitHub a dévoilé la brèche mardi. Elle a confirmé enquêter sur des allégations d’accès non autorisé à ses dépôts internes. Un porte-parole a indiqué à BleepingComputer que l’incident provenait de l’installation d’une extension Visual Studio Code malveillante par un employé, sans nommer l’extension concernée dans un premier temps.
Dans un billet de blog publié mercredi soir, la directrice de la sécurité de l’information de GitHub, Alexis Wales, a précisé les détails. Elle a expliqué que la version malveillante de Nx Console était en cause. Cette extension officielle du marketplace VS Code aide les développeurs à gérer de grands dépôts et des bases de code multiprojets sans recourir uniquement à des commandes CLI complexes dans le terminal.
Wales a ajouté que GitHub avait sécurisé l’appareil compromis. La société n’a pour l’instant trouvé aucune preuve que des données clients stockées en dehors des dépôts affectés aient été dérobées.
« Nous avons fait tourner les secrets critiques lundi et mardi, en priorisant d’abord les identifiants à l’impact le plus élevé », a déclaré Wales. « Nous continuons d’analyser les journaux, de valider la rotation des secrets et de surveiller notre infrastructure pour toute activité secondaire. Nous prendrons des mesures supplémentaires si l’enquête l’exige. »
GitHub n’a pas encore attribué l’attaque à un groupe de piratage spécifique. Cependant, la bande cybercriminelle TeamPCP a revendiqué l’accès au code source de GitHub et à « environ 4000 dépôts de code privé » sur le forum Breached mardi. Elle demande maintenant au moins 50 000 dollars pour les données volées.
Cette revendication intervient après que les développeurs de Nx ont révélé lundi qu’ils enquêtaient conjointement sur l’impact de l’attaque avec GitHub et Microsoft. Une version malveillante de Nx Console 18.95.0 était disponible sur le Visual Studio Marketplace pendant environ 18 minutes, et sur OpenVSX pendant 36 minutes supplémentaires.
L’extension empoisonnée déployait une charge utile malveillante conçue pour voler des identifiants et des secrets pour une large gamme de plateformes, dont npm, AWS, Kubernetes, GitHub et GCP/Docker.
« Un de nos développeurs a été compromis par une récente attaque de la chaîne d’approvisionnement sur Tanstack, qui a divulgué ses identifiants GitHub via la CLI GitHub (gh). Cela a permis à l’attaquant d’exécuter des workflows sur notre dépôt GitHub en tant que contributeur », a expliqué l’équipe NX.
« Selon Microsoft et OpenVSX, le nombre de téléchargements pour la version impactée 18.95.0 était faible, respectivement 28 et 41. Deux jours après l’attaque, nos analytiques ont enregistré environ 6000 activations de l’extension depuis VSCode et 0 depuis d’autres éditeurs. »
Ces dernières années, plusieurs autres extensions VS Code malveillantes, avec des millions d’installations, se sont faufilées sur le marketplace officiel de VS Code. Elles ont servi à voler des identifiants de développeurs et d’autres données sensibles.
L’année dernière, plusieurs extensions VS Code avec 9 millions d’installations ont été retirées en raison de risques de sécurité. Dix d’entre elles infectaient les utilisateurs avec le cryptominer XMRig. Une extension malveillante avec des capacités de rançongiciel basiques a aussi été repérée plus tard sur le marketplace VS Code, après que le pirate WhiteCobra l’avait inondé avec 24 extensions voleuses de cryptomonnaies.
En janvier, deux autres extensions se faisant passer pour des assistants de codage basés sur l’IA, avec 1,5 million d’installations, ont été utilisées pour exfiltrer des données depuis des systèmes de développeurs compromis vers des serveurs en Chine.
La plateforme cloud de GitHub est utilisée par plus de 4 millions d’organisations, dont 90% des entreprises du Fortune 100, et par plus de 180 millions de développeurs qui contribuent à plus de 420 millions de dépôts de code.