GitHub annonce qu’un hacker a dérobé du code provenant d’environ 3 800 de ses dépôts internes après avoir placé un plugin vérolé sur l’ordinateur d’un employé, suscitant l’inquiétude dans l’industrie crypto quant à la sécurité des clés API enregistrées dans le code.
Le fondateur de Binance, Changpeng Zhao, a invité les développeurs à vérifier chaque projet à la recherche de clés cachées et à les remplacer, avertissant que même les dépôts privés doivent désormais être considérés comme exposés.
Ce que l’entreprise a révélé
GitHub indique que la faille a débuté lorsqu’un employé a installé une version malveillante d’une extension VS Code, un petit module complémentaire pour un éditeur de code utilisé par des millions de développeurs dans le monde.
L’entreprise a isolé l’ordinateur concerné, supprimé l’extension malveillante et commencé à remplacer les mots de passe critiques dans la nuit. Les identifiants les plus à risque ont été changés en priorité.
Jusqu’à présent, l’enquête suggère que le hacker n’a extrait du code que depuis les dépôts internes de GitHub. Les projets, organisations et comptes clients n’affichent aucun signe d’impact.
GitHub affirme que l’estimation de l’attaquant, qui parle d’environ 3 800 dépôts volés, correspond à ce que son équipe a constaté. Un rapport plus complet sera publié une fois l’enquête achevée.
Pourquoi les développeurs crypto sont-ils en alerte ?
Dans la crypto, une clé API exposée peut vider un compte de trading en quelques minutes. De nombreuses clés ouvrent aussi l’accès à des wallets, des outils de conservation ou des bots d’exchange. C’est pourquoi CZ a réagi rapidement pour alerter sa communauté.
Le secteur en a déjà fait les frais. Une faille chez le fournisseur d’infrastructure Vercel plus tôt cette année a obligé plusieurs équipes à renouveler leurs clés. La fuite de 3Commas en 2022 a révélé près de 100 000 clés utilisateurs.
Une autre attaque sur la supply chain du gestionnaire de mots de passe Bitwarden a dérobé des seeds de wallet et des tokens développeur. Les données volées étaient ensuite cachées dans des dépôts GitHub.
Les développeurs laissent fréquemment des clés privées dans le code, les scripts de build ou des fichiers de configuration cachés, en pensant que personne en dehors de l’entreprise ne pourra y accéder. Le cas GitHub démontre que même les systèmes internes peuvent être compromis, tout comme les systèmes publics.
GitHub précise que son équipe continue d’analyser les logs. Il sera plus clair dans les prochains jours si certains des dépôts volés contiennent du code ou des secrets liés à des infrastructures crypto.
