GitHub a confirmé qu’environ 3 800 dépôts internes ont été consultés lors d’une faille de sécurité liée à une extension malveillante Visual Studio Code installée sur l’appareil d’un employé.
La plateforme de développement appartenant à Microsoft a déclaré avoir détecté et contenu l’incident après avoir identifié un terminau compromis lié à une extension VS Code empoisonnée. GitHub a retiré l’extension malveillante du marché, isolé l’appareil concerné et lancé une enquête interne de réponse aux incidents.
Selon l’évaluation actuelle de l’entreprise, l’attaque impliquait uniquement un accès non autorisé aux dépôts internes de GitHub. GitHub a indiqué qu’il n’y a aucune preuve que les dépôts clients, les environnements d’entreprise ou les projets publics aient été impactés par la faille.
L’incident est devenu public après que des acteurs malveillants ont affirmé en ligne avoir volé le code source de GitHub et des données internes sensibles. Les assaillants auraient allégué avoir eu accès à près de 4 000 dépôts et avoir tenté de vendre les informations volées sur des forums clandestins. GitHub a déclaré que les affirmations des attaquants concernant le volume du dépôt étaient « cohérentes sur le plan directionnel » avec l’enquête menée par l’entreprise jusqu’à présent.
Cette violation a ravivé les inquiétudes concernant les attaques sur la chaîne d’approvisionnement logicielle ciblant les outils et extensions des développeurs. Les extensions Visual Studio Code sont de plus en plus devenues une cible pour les groupes de cybercriminels car elles peuvent fournir un accès direct aux environnements de développement, aux jetons d’authentification, aux dépôts internes et à l’infrastructure CI/CD.
Les chercheurs en sécurité avertissent depuis des années que les extensions malveillantes ou trojanisées peuvent abuser de la confiance des développeurs pour exécuter un code arbitraire dans des environnements de développement. Ces derniers mois, plusieurs campagnes impliquant des extensions VS Code fausses ou compromises ont été liées au vol d’identifiants, à la diffusion de malwares et à des opérations de compromission de dépôts.
GitHub n’a pas rendu public le nom de l’extension malveillante impliquée dans l’incident. L’entreprise n’a pas non plus confirmé si un code source propriétaire, des identifiants ou des actifs sensibles à la sécurité ont été exposés lors de la faille.