GitHub confirme la compromission de 3 800 dépôts via une extension VSCode malveillante

🔍 Contexte

Source : BleepingComputer — Article publié le 20 mai 2026. GitHub a officiellement confirmé une compromission de ses systèmes internes après qu’un employé a installé une extension VSCode malveillante depuis le VS Code Marketplace.

💥 Incident

L’attaque a conduit à l’exfiltration d’environ 3 800 dépôts internes de GitHub. GitHub a déclaré avoir détecté et contenu la compromission, isolé l’endpoint affecté, supprimé l’extension malveillante du marketplace et lancé une réponse à incident immédiate. La société précise qu’aucune donnée client stockée en dehors des dépôts affectés n’a été compromise à ce stade.

🎭 Acteur de la menace

Le groupe TeamPCP a revendiqué l’accès sur le forum cybercriminel Breached, affirmant détenir environ 4 000 dépôts de code privé. Le groupe propose les données à la vente pour un minimum de 50 000 dollars à un acheteur unique, menaçant de les divulguer gratuitement si aucun acheteur n’est trouvé.

🔗 Historique de TeamPCP

TeamPCP est lié à plusieurs attaques supply chain antérieures ciblant :

• GitHub (via GitHub Actions)
• PyPI (package Telnyx backdooré)
• NPM (attaques Kubernetes avec wiper ciblant l’Iran)
• Docker (attaque supply chain Trivy)
• La campagne “Mini Shai-Hulud” (ayant également impacté deux employés d’OpenAI)

🛠️ Vecteur d’attaque

Le vecteur initial est une extension VSCode trojanisée installée par un employé depuis le VS Code Marketplace officiel. Le nom de l’extension n’a pas été divulgué. Ce type de vecteur a déjà été exploité à plusieurs reprises : extensions avec 9 millions d’installations retirées pour risques de sécurité, extensions diffusant XMRig, extension avec capacités ransomware, et extensions IA malveillantes exfiltrant des données vers des serveurs en Chine.

📊 Impact

• ~3 800 dépôts internes GitHub exfiltrés
• Aucune donnée client externe confirmée comme compromise
• Extension malveillante retirée du marketplace
• Endpoint isolé

📰 Type d’article

Annonce d’incident confirmée par la victime, combinant déclaration officielle de GitHub et contexte sur l’acteur de la menace TeamPCP.

🧠 TTPs et IOCs détectés

Acteurs de menace

• TeamPCP (cybercriminal) — orkl.eu · Malpedia

TTP

• T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
• T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
• T1078 — Valid Accounts (Defense Evasion)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1213 — Data from Information Repositories (Collection)

🟢 Indice de vérification factuelle : 65/100 (haute)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 9791 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 5 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : TeamPCP (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/