Comment une extension VS Code piégée a permis l’accès à 3 800 dépôts internes de GitHub

À partir de ce point d’accès, les attaquants ont pu :

• récupérer des éléments d’authentification (identifiants ou jetons de session actifs)
• utiliser ces accès pour pénétrer dans les systèmes internes de GitHub
• consulter et exfiltrer des données provenant d’environ 3 800 dépôts internes appartenant à GitHub

Le fait que l’attaque passe par un outil de développement légitime est crucial. Les extensions VS Code sont largement utilisées par les développeurs et peuvent exécuter du code localement, ce qui leur donne souvent accès aux fichiers, aux tokens et aux environnements de développement.

Qui serait derrière l’attaque

La fuite a été revendiquée par un acteur malveillant connu sous le nom de TeamPCP, qui aurait proposé à la vente du code source et des données organisationnelles internes de GitHub sur des forums cybercriminels.

GitHub n’a pas officiellement attribué l’attaque à un groupe précis lors de sa première communication. Néanmoins, plusieurs rapports de sécurité relient l’incident à TeamPCP.

Ce groupe s’est fait remarquer en 2026 pour plusieurs attaques coordonnées contre la chaîne d’approvisionnement logicielle, visant l’écosystème des développeurs.

Le rôle de l’extension VS Code malveillante

Les extensions d’environnement de développement intégré (IDE) peuvent fonctionner avec des privilèges similaires à ceux d’outils légitimes. Dans ce cas précis, l’extension compromise aurait permis aux attaquants de s’implanter sur la machine de l’employé.

Selon les analyses de sécurité, le malware aurait notamment pu :

• collecter des identifiants et jetons d’authentification
• surveiller l’environnement de développement
• exfiltrer des données depuis les dépôts locaux ou les sessions actives

Une fois en possession de jetons valides ou de sessions authentifiées, les attaquants pouvaient accéder aux dépôts internes sans avoir à exploiter directement une vulnérabilité de l’infrastructure GitHub.

Cette méthode est devenue fréquente dans les attaques de chaîne d’approvisionnement : au lieu de cibler la plateforme elle‑même, les attaquants compromettent l’environnement de développement d’un utilisateur de confiance.

La réaction de GitHub

GitHub indique avoir détecté rapidement l’activité suspecte liée à l’extension compromise et avoir contenu l’incident.

Les premières mesures ont notamment consisté à :

• supprimer la version malveillante de l’extension du VS Code Marketplace
• isoler l’ordinateur compromis
• révoquer et renouveler les identifiants sensibles
• lancer une enquête complète de réponse à incident

L’entreprise continue également de surveiller son infrastructure afin de détecter toute activité malveillante liée à cette intrusion.

Les utilisateurs de GitHub sont‑ils concernés ?

D’après les informations disponibles, l’incident semble limité aux dépôts internes de GitHub.

La société précise qu’elle ne dispose d’aucune preuve d’accès aux dépôts des utilisateurs, aux organisations clientes ou aux comptes d’entreprise hébergés sur la plateforme.

Cette distinction est importante : GitHub héberge des projets pour des millions de développeurs et d’entreprises, mais les dépôts concernés appartenaient uniquement à l’environnement interne de l’entreprise.

Un incident lié à la campagne « Mini Shai‑Hulud »

Des chercheurs en cybersécurité estiment que l’attaque s’inscrit dans une campagne plus large menée par TeamPCP, baptisée « Mini Shai‑Hulud ».

Cette campagne vise différents éléments de l’écosystème de développement logiciel, notamment :

• les paquets npm
• les bibliothèques PyPI
• les pipelines CI/CD
• les outils et extensions utilisés par les développeurs

Les paquets malveillants déployés dans cette campagne sont conçus pour voler des secrets critiques, comme des identifiants cloud, des jetons CI ou des informations d’authentification de développeurs, afin de progresser dans les chaînes de développement.

Certains chercheurs décrivent la stratégie comme une attaque de chaîne d’approvisionnement auto‑propagée, capable de se diffuser via des dépendances logicielles et des environnements de développement compromis.

Pourquoi cet incident est important

Même si les dépôts clients n’ont pas été touchés, l’incident souligne une évolution majeure des menaces en cybersécurité.

Les attaquants ciblent de plus en plus :

• les postes de travail des développeurs
• les dépendances open source
• les pipelines CI/CD
• les extensions et plugins d’IDE

Ces environnements contiennent souvent des clés d’accès, des jetons et des chemins privilégiés vers des systèmes critiques.

L’incident GitHub montre comment un seul outil de développement compromis peut ouvrir l’accès à des milliers de dépôts, renforçant l’idée que la sécurité de la chaîne d’approvisionnement logicielle est devenue l’un des défis majeurs de la cybersécurité moderne.