Microsoft a temporairement désactivé plus de 70 de ses propres dépôts GitHub après avoir découvert du contenu potentiellement malveillant lié à une attaque plus large visant la chaîne d’approvisionnement logicielle. Les projets concernés comprenaient, selon certaines informations, des dépôts Azure Functions, des outils de développement Durable Task et plusieurs exemples d’applications liées à l’IA.
GitHub est une plateforme propriétaire destinée aux développeurs qui leur permet de créer, stocker, gérer et partager leur code. Elle utilise Git pour assurer un contrôle de version distribué, et GitHub propose en outre des fonctionnalités de contrôle d’accès, de suivi des bogues, de gestion des demandes de fonctionnalités logicielles, de gestion des tâches, d’intégration continue et de wikis pour chaque projet. GitHub, dont le siège social est situé à San Francisco, est exploité par GitHub, Inc., une filiale de Microsoft depuis 2018.
Il est couramment utilisé pour héberger des projets de développement de logiciels open source. En janvier 2023, GitHub a déclaré compter plus de 100 millions de développeurs et plus de 420 millions de dépôts, dont au moins 28 millions de dépôts publics. Il s’agit du plus grand hébergeur de code source au monde en juin 2023. Plus de cinq milliards de contributions de développeurs ont été apportées à plus de 500 millions de projets open source en 2024.
Microsoft a temporairement désactivé plus de 70 de ses propres dépôts GitHub après avoir découvert du contenu potentiellement malveillant lié à une attaque plus large visant la chaîne d’approvisionnement logicielle. Les projets concernés comprenaient, selon certaines informations, des dépôts Azure Functions, des outils de développement Durable Task et plusieurs exemples d’applications liées à l’IA. Il s’agit de l’un des plus grands cas connus où une grande entreprise technologique a désactivé ses propres dépôts dans le cadre d’une enquête de sécurité en cours.
Les chercheurs en sécurité affirment que des attaquants ont inséré des fichiers malveillants dans au moins un dépôt associé à Microsoft. Ces fichiers étaient conçus pour exploiter la manière dont les outils de développement modernes assistés par l’IA interagissent avec les bases de code, permettant potentiellement aux attaquants de récupérer les identifiants des développeurs ayant ouvert les dépôts compromis à l’aide d’outils tels que Claude Code, Gemini CLI, Cursor ou Visual Studio Code. Microsoft a confirmé avoir supprimé les référentiels pendant l’enquête et en avoir restauré certains après examen.
A mesure que les agents de codage accèdent aux référentiels, aux fichiers de configuration, aux terminaux et aux identifiants, les attaquants ciblent de plus en plus la chaîne d’approvisionnement logicielle de manière à affecter les développeurs et les organisations qui s’appuient sur leurs outils et leur infrastructure. Cette affaire soulève également des questions sur la rapidité avec laquelle les grandes entreprises technologiques peuvent détecter et contenir les compromissions au sein des écosystèmes open source auxquels font confiance des millions de développeurs.
Microsoft désactive des dizaines de dépôts GitHub à la suite d’une faille de sécurité
Microsoft a désactivé un nombre inhabituellement élevé de référentiels en peu de temps. Selon certaines informations, GitHub aurait désactivé 73 référentiels Microsoft appartenant à plusieurs organisations en l’espace de quelques minutes. Les projets concernés auraient notamment inclus l’ensemble de l’organisation Azure Functions, la famille de référentiels Durable Task et plusieurs exemples d’applications axées sur l’IA.
Le logiciel malveillant semble avoir ciblé les utilisateurs d’assistants de codage basés sur l’IA. Les chercheurs en sécurité ont indiqué que les attaquants avaient ajouté des fichiers de configuration malveillants capables de voler des identifiants lorsque les dépôts étaient ouverts au sein d’environnements de développement utilisant l’IA. Contrairement aux logiciels malveillants traditionnels qui reposent sur l’exécution par les utilisateurs de binaires suspects, cette attaque aurait exploité des flux de travail de plus en plus courants chez les développeurs utilisant des outils d’IA.
Cet incident pourrait être lié à des compromissions antérieures impliquant Durable Task. Les chercheurs ont noté que le groupe malveillant TeamPCP avait déjà compromis le projet Durable Task de Microsoft et publié des versions malveillantes de paquets en mai. TeamPCP a été associé à de nombreuses attaques de la chaîne d’approvisionnement logicielle tout au long de l’année 2026, qui ont touché des centaines d’organisations, démontrant ainsi que les attaquants continuent de cibler les infrastructures de développement de confiance.
La mise hors service a probablement perturbé les flux de travail des développeurs. Toutes les actions GitHub, les pipelines d’automatisation ou les projets logiciels qui dépendaient des référentiels désactivés auraient été affectés. Les organisations utilisant ces référentiels ont pu rencontrer des échecs de compilation, des interruptions de déploiement ou avoir dû vérifier leurs dépendances pendant que Microsoft menait son enquête.
Des questions subsistent quant à l’ampleur totale de la violation. Microsoft n’a pas divulgué publiquement tous les détails concernant la compromission, notamment le nombre exact de référentiels touchés, la durée pendant laquelle le contenu malveillant était présent, ou le nombre d’utilisateurs qui auraient pu interagir avec celui-ci. L’entreprise a déclaré avoir directement informé un petit nombre de clients susceptibles d’avoir téléchargé du contenu à partir des référentiels affectés et poursuit son enquête.
Cet incident souligne l’importance croissante de la sécurité de la chaîne d’approvisionnement logicielle. Alors que les organisations dépendent de plus en plus des composants open source, de l’infrastructure cloud et des environnements de développement assistés par l’IA, une compromission d’un référentiel de confiance peut rapidement se propager à des milliers de systèmes. Les équipes de sécurité sont désormais contraintes de surveiller elles-mêmes les progiciels, ainsi que les outils d’IA qui interagissent avec eux.
En mai 2026, GitHub a révélé que des attaquants ont accédé aux données d’environ 3 800 référentiels internes après avoir compromis l’appareil d’un employé. La violation a été attribuée à une version corrompue de l’extension Visual Studio Code nrwl.angular-console, associée au projet Nx Console. GitHub a déclaré qu’il n’y avait aucune preuve que les données des clients en dehors de ses référentiels internes aient été affectées, bien que la société poursuive son enquête et informera ses clients si un impact venait à être confirmé.
En outre, en mars 2025, une attaque sur le paquet tj-actions/changed-files, utilisé par plus de 23 000 organisations, dont de grandes entreprises, a exposé les vulnérabilités critiques des écosystèmes open source. En compromettant un compte de mainteneur, des cybercriminels ont injecté un code malveillant conçu pour voler des informations sensibles, telles que des clés d’accès AWS, des jetons GitHub et des clés RSA privées. Cet incident avait soulevé des questions urgentes sur la sécurité des logiciels open source et la gestion des dépendances. Cette attaque rappelle que la confiance aveugle dans les dépendances tierces peut avoir des conséquences désastreuses, surtout lorsque les mécanismes de vérification sont insuffisants.
Source : Rapport de Cloudsmith, Rapport d’Opensource Malware
