GitHub confirme que des pirates ont volé des données provenant de 3 800 référentiels internes lors d'une récente violation

Attribuée à une version corrompue de l'extension VS Code « nrwl.angular-console »

GitHub confirme que des pirates ont volé des données provenant de 3 800 référentiels internes lors d'une récente violation, attribuée à une version corrompue de l'extension VS Code « nrwl.angular-console »

GitHub a révélé que des attaquants ont accédé aux données d'environ 3 800 référentiels internes après avoir compromis l'appareil d'un employé. La violation a été attribuée à une version corrompue de l'extension Visual Studio Code nrwl.angular-console, associée au projet Nx Console. GitHub a déclaré qu'il n'y avait aucune preuve que les données des clients en dehors de ses référentiels internes aient été affectées, bien que la société poursuive son enquête et informera ses clients si un impact venait à être confirmé.

GitHub est une plateforme propriétaire destinée aux développeurs qui leur permet de créer, stocker, gérer et partager leur code. Elle utilise Git pour assurer le contrôle de version distribué et GitHub assure lui-même le contrôle d'accès, le suivi des bogues, les demandes de fonctionnalités logicielles, la gestion des tâches, l'intégration continue et les wikis pour chaque projet. GitHub, dont le siège social est situé à San Francisco, est exploité par GitHub, Inc., une filiale de Microsoft depuis 2018.

Elle est couramment utilisée pour héberger des projets de développement de logiciels open source. En janvier 2023, GitHub a déclaré compter plus de 100 millions de développeurs et plus de 420 millions de dépôts, dont au moins 28 millions de dépôts publics. Il s'agit du plus grand hébergeur de code source au monde en juin 2023. Plus de cinq milliards de contributions de développeurs ont été apportées à plus de 500 millions de projets open source en 2024.

Récemment, GitHub a révélé que des attaquants ont accédé aux données d'environ 3 800 référentiels internes après avoir compromis l'appareil d'un employé. La violation a été attribuée à une version corrompue de l'extension Visual Studio Code nrwl.angular-console, associée au projet Nx Console. GitHub a déclaré qu'il n'y avait aucune preuve que les données des clients en dehors de ses référentiels internes aient été affectées, bien que la société poursuive son enquête et informera ses clients si un impact venait à être confirmé.

L'extension malveillante n'a été disponible que pendant 18 minutes le 18 mai 2026, mais cela a suffi pour déployer un voleur d'identifiants ciblant des outils tels que 1Password, Anthropic Claude Code, npm et AWS. L'extension se comportait comme la version normale tout en exécutant silencieusement une commande shell déguisée au démarrage, qui téléchargeait un logiciel malveillant caché depuis un dépôt GitHub. GitHub a maîtrisé l'incident, renouvelé les secrets critiques et continue de surveiller toute nouvelle activité malveillante.

TeamPCP a revendiqué la responsabilité de cette intrusion et vendrait les données volées sur un forum dédié à la cybercriminalité. Le groupe avait déjà revendiqué une intrusion au sein de la Commission européenne, au cours de laquelle plus de 90 Go de données auraient été volés après que des pirates aient obtenu une clé de cloud suite à une autre compromission impliquant Trivy, un outil d'analyse de vulnérabilités.

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.

Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…

— GitHub (@github) May 20, 2026

Voici le rapport de GitHub :

Enquête sur un accès non autorisé à des dépôts appartenant à GitHub

Le lundi 18 mai, nous avons détecté et maîtrisé une compromission d'un appareil d'un employé impliquant une extension VS Code corrompue publiée par un tiers. Nous avons supprimé la version malveillante de l'extension, isolé le terminal et immédiatement lancé une réponse à l'incident.

Selon notre évaluation actuelle, cette activité n'a concerné que l'exfiltration de dépôts internes à GitHub. Les affirmations actuelles de l'attaquant concernant environ 3 800 dépôts concordent globalement avec notre enquête à ce jour.

Nous n'avons aucune preuve d'impact sur les informations client stockées en dehors des dépôts internes de GitHub, telles que les entreprises, organisations et dépôts propres à nos clients. Certains dépôts internes de GitHub contiennent des informations provenant de clients, par exemple des extraits d'échanges avec le support. Si un impact venait à être découvert, nous en informerions les clients via les canaux de réponse aux incidents et de notification établis.

Nous avons agi rapidement pour réduire les risques. Nous avons procédé à la rotation des secrets critiques lundi et mardi, en donnant la priorité aux identifiants ayant le plus fort impact.

Nous continuons d'analyser les journaux, de valider la rotation des secrets et de surveiller notre infrastructure pour détecter toute activité consécutive. Nous prendrons des mesures supplémentaires si l'enquête le justifie.

Nous publierons un rapport plus complet une fois l'enquête terminée.

Source : Rapport de GitHub

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Des identifiants confidentiels de l'Agence américaine de cybersécurité (CISA) ont été découverts dans un dépôt GitHub public : Clés SSH, mots de passe en clair et autres données sensibles depuis 2025

L'interface CLI de GitHub collecte et transmet désormais par défaut des données de télémétrie, ce qui suscite des inquiétudes quant à la protection de la vie privée au sein de la communauté

GitGuardian révèle une progression de 81 % des fuites liées aux services d'IA tandis que 29 millions de secrets sont détectés sur GitHub public