Numéro : AL26-013
Date : 29 mai 2026
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels des TIainsi qu’aux gestionnaires.
Objet
Une alerte vise à sensibiliser les destinataires à une cybermenace récemment relevée pouvant toucher les biens d’information électroniques et à fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) peut offrir une assistance supplémentaire aux destinataires qui en font la demande.
Détails
Le 18 mai 2026, GitHub a détecté un accès non autorisé à ses systèmes internes provenant d’un appareil d’employé compromisNote de bas de page 1. L’intrusion a été facilitée par une version malicieusement modifiée de l’extension Nx Console pour Visual Studio Code (version 18.95.0)Note de bas de page 2. L’attaquant a réussi à exfiltrer environ 3 800 dépôts internes de GitHub, contenant du code source propriétaire et des données de configuration internes. Les clients de GitHub Enterprise Server sont invités à suivre les recommandations du fournisseur. Aucune action n’est requise pour les clients utilisant GitHub Enterprise Cloud.
En réponse à cet incident de sécurité et à la publication de la notification de sécurité de GitHub, le Centre canadien pour la cybersécurité a publié le bulletin de sécurité AV26-512 le 27 mai 2026Note de bas de page 3.
La présente alerte vise à sensibiliser les organisations à cet incident et à prendre les mesures nécessaires.
Mesures recommandées
Le Centre pour la cybersécurité recommande aux organisations de:
- Surveiller les signes de compromission en examinant les journaux de processus CI/CD (intégration continue/distribution continue) afin de détecter les accès/clonages de dépôts inattendus, les actions administratives non autorisées, les modifications à l’authentification ou aux contrôles d’accès, les publications non autorisées ou les transactions orphelines, ainsi que les transactions suspectes après le 18 mai 2026 — en particulier celles provenant de comptes de service automatisés (par exemple ci-bot, build-bot).
- Supprimer Nx Console v18.95.0 de tous les environnements et rétrograder/mettre à niveau vers une version fiable (18.94.0 ou 18.96.0 et ultérieures).
- Si la version malveillante est présente :
- Vérifier sur les systèmes macOS la présence de
~/.local/share/kitty/cat.pyet des mécanismes de persistance associés (agents de lancement) - Faire immédiatement la rotation de toutes les informations d’identification (AWS, GCP, Azure, GitHub, npm) exposées sur les postes développeurs entre le 11 et le 20 mai 2026.
- Vérifier sur les systèmes macOS la présence de
- Renforcer les contrôles en désactivant les mises à jour automatiques des extensions d’environnement de développement intégré (IDE) dans les environnements à haute sécurité et en imposant une liste blanche approuvée d’outils de développement.
- Faire la rotation des clés publiques GPG (GNU Privacy Guard) de GitHub Enterprise Server conformément aux recommandations du fournisseur, car les futures mises à jour exigeront la nouvelle clé avant installation.
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de passer en revue et de mettre en œuvre ses 10 mesures de sécurité des TI, en mettant l’accent sur ce qui suitNote de bas de page 4 :
- appliquer des correctifs aux applications et aux systèmes d’exploitation;
- renforcer les systèmes d’exploitation et les applications;
- isoler les applications Web.
Toute activité correspondante doit être signalée via Mon cyberportail ou par courriel à contact@cyber.gc.ca.