### Déclaration Officielle de GitHub Alexis Wales, Chief Information Security Officer de **GitHub**, a déclaré que la brèche était le résultat d'une extension **Nx Console** **VS Code** compromise. "Nous n'avons aucune preuve d'impact sur les informations client stockées en dehors des dépôts internes de **GitHub**, telles que les propres entreprises, organisations et dépôts de nos clients", a-t-elle noté dans une déclaration. Cependant, certains dépôts internes contiennent des informations client issues d'interactions de support, et les clients concernés seront informés par les canaux établis. ### L'ampleur de l'attaque L'attaque aurait permis à l'acteur de la menace, identifié comme **TeamPCP**, d'exfiltrer environ 3 800 dépôts. **GitHub** a pris des mesures pour contenir l'incident, notamment la rotation des secrets critiques et la surveillance continue de toute activité malveillante supplémentaire. ### La brèche de Nx Console L'équipe **Nx** a révélé que leur extension **nrwl.angular-console** a été compromise suite au piratage du système d'un de leurs développeurs, lié à la récente attaque de la chaîne d'approvisionnement **TanStack**. Parmi les autres victimes du compromis **TanStack** figurent **OpenAI**, **Mistral AI** et **Grafana Labs**. ### Réponse de l'industrie Jeff Cross, co-fondateur de **Narwhal Technologies**, la société derrière nx.dev, a souligné la nécessité de changements plus fondamentaux dans la sécurisation des outils de développement et de la distribution open-source. Il a tweeté : "Cet incident met en évidence la nécessité de changements plus profonds et plus fondamentaux dans la manière dont nous et d'autres mainteneurs devons réfléchir à la sécurisation des outils de développement et de la distribution open-source." Il a ajouté qu'ils entamaient des discussions avec d'autres mainteneurs open-source de haut profil pour aborder les problèmes structurels plus profonds entourant la sécurité de la chaîne d'approvisionnement logicielle. ### La notoriété croissante de TeamPCP **TeamPCP** a rapidement attiré l'attention pour avoir orchestré des attaques à grande échelle de la chaîne d'approvisionnement logicielle, ciblant spécifiquement des projets open-source largement utilisés et des outils liés à la sécurité dont les développeurs dépendent. ### La brève fenêtre de l'extension trojanisée La version trojanisée de l'extension **VS Code** a été active sur le Visual Studio Marketplace pendant seulement 18 minutes (entre 12h30 et 12h48 UTC le 18 mai 2026). Malgré cette courte période, les attaquants ont réussi à distribuer un voleur d'identifiants capable de récolter des données sensibles des coffres-forts **1Password**, des configurations **Anthropic Claude Code**, npm, **GitHub** et **Amazon Web Services (AWS)**. ### Analyse technique Selon Nir Zadok, chercheur chez **OX Security**, "L'extension ressemblait et se comportait comme **Nx Console** normale, mais au démarrage, elle exécutait silencieusement une seule commande shell qui téléchargeait et exécutait un package caché à partir d'un commit placé sur le dépôt officiel nrwl/nx **GitHub**. La commande était déguisée en tâche de configuration MCP de routine afin de ne pas éveiller les soupçons." ### Le cycle auto-entretenu des compromis La nature interconnectée du logiciel moderne permet à **TeamPCP** de créer un cycle auto-entretenu de compromis. En s'introduisant dans un outil de confiance, ils volent les identifiants des systèmes des développeurs et utilisent ces identifiants pour compromettre des outils légitimes ultérieurs. ### Le dilemme de la mise à jour automatique Raphael Silva, chercheur en sécurité chez Aikido, a commenté la fonctionnalité de mise à jour automatique des marketplaces d'extensions : "Chaque marketplace d'extensions populaire propose la mise à jour automatique par défaut. **VS Code**, Cursor, toute la gamme. Le raisonnement est logique isolément, car la plupart des développeurs ne mettent jamais à jour quoi que ce soit manuellement, donc laisser cela désactivé signifie une longue traîne d'éditeurs exécutant du code obsolète et vulnérable." Il a en outre expliqué le compromis : "Le compromis cesse d'avoir un sens une fois que vous prenez en compte les éditeurs hostiles/compromis. La mise à jour automatique donne à un attaquant qui contrôle une version un canal de diffusion direct vers chaque machine exécutant cette extension. Les marketplaces n'imposent aucune porte de révision ni période d'attente entre la publication d'une mise à jour et son téléchargement par les clients installés."