🗓️ Contexte

Article publié le 21 mai 2026 sur BleepingComputer par Sergiu Gatlan. Il s’agit d’un post-mortem partiel de la compromission des dépôts internes de GitHub, rattachée à la campagne supply chain orchestrée par le groupe TeamPCP.

🔓 Incident GitHub

Le CISO de GitHub, Alexis Wales, a confirmé que la brèche ayant touché 3 800 dépôts internes résulte de l’installation par un employé d’une version malveillante de l’extension VS Code Nx Console (version 18.95.0). Cette version empoisonnée a été disponible sur le Visual Studio Marketplace pendant environ 18 minutes et sur OpenVSX pendant 36 minutes, avec respectivement 28 et 41 téléchargements directs, mais environ 6 000 activations enregistrées depuis VSCode.

La charge malveillante déployée par l’extension visait à voler des credentials et secrets pour les plateformes suivantes :

  • npm
  • AWS
  • Kubernetes
  • GitHub
  • GCP/Docker

Les credentials GitHub CLI (gh) d’un développeur Nx ont été exfiltrés, permettant à l’attaquant d’exécuter des workflows sur le dépôt GitHub de Nx en tant que contributeur.

🕵️ Attribution : groupe TeamPCP

Le groupe TeamPCP a revendiqué l’accès au code source GitHub et à “~4 000 dépôts de code privé” sur le forum Breached, demandant au moins 50 000 USD pour les données volées.

La campagne a débuté par la compromission de dizaines de packages npm TanStack et Mistral AI, puis s’est étendue à d’autres projets via des credentials CI/CD volés :

  • UiPath
  • Guardrails AI
  • OpenSearch

TeamPCP est également lié à des attaques supply chain antérieures ciblant PyPI, npm, GitHub et Docker, ainsi qu’à la campagne “Mini Shai-Hulud” (ayant aussi affecté deux employés d’OpenAI).

🔄 Réponse de GitHub

GitHub a sécurisé le poste compromis et procédé à la rotation des secrets critiques (credentials prioritaires en premier). Aucune preuve de vol de données clients en dehors des dépôts affectés n’a été trouvée à ce stade. L’investigation des logs et la surveillance de l’infrastructure sont en cours.

📰 Nature de l’article

Article de presse spécialisée relatant un incident en cours, combinant des éléments de post-mortem partiel (déclarations officielles de GitHub) et de contextualisation de la campagne TeamPCP dans un historique d’attaques supply chain plus large.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1199 — Trusted Relationship (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1552 — Unsecured Credentials (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1650 — Acquire Access (Resource Development)

Malware / Outils

  • Nx Console 18.95.0 (malicious) (stealer)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 13348 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : TeamPCP (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/github-links-repo-breach-to-tanstack-npm-supply-chain-attack/