GitHub ha confirmado un incidente de seguridad que afecta a alrededor de 3.800 repositorios internos después de que un empleado instalara una extensión maliciosa de Visual Studio Code. La compañía detectó la actividad, aisló el dispositivo comprometido y retiró del marketplace la versión troyanizada de la extensión, cuyo nombre no ha sido revelado públicamente. Según la empresa, la intrusión se habría limitado a repositorios internos de GitHub y, por el momento, no hay evidencias de que los datos de clientes almacenados fuera de esos repositorios se hayan visto afectados.
El caso vuelve a poner el foco sobre una amenaza cada vez más relevante para equipos técnicos y empresas tecnológicas: los ataques contra la cadena de suministro del software. En lugar de atacar directamente una infraestructura corporativa desde el exterior, los ciberdelincuentes buscan comprometer herramientas que los desarrolladores utilizan a diario, como extensiones, paquetes, librerías o flujos de integración continua.
Qué ha pasado en GitHub
GitHub explicó que detectó y contuvo la amenaza tras identificar el compromiso de un dispositivo de empleado a través de una extensión “envenenada” de VS Code. Tras el hallazgo, la compañía eliminó la versión maliciosa, aisló el equipo afectado y activó su proceso de respuesta a incidentes.
La investigación interna apunta a que la actividad maliciosa implicó la exfiltración de repositorios internos de GitHub. La propia empresa reconoció que las afirmaciones del atacante sobre el robo de unos 3.800 repositorios son “coherentes” con los datos preliminares de su investigación.
Aunque el incidente es grave por la naturaleza de la compañía afectada, GitHub ha insistido en que no dispone de evidencias de impacto sobre repositorios de clientes, organizaciones empresariales o datos almacenados fuera del entorno interno comprometido. Esta precisión es importante: no es lo mismo una brecha que afecta al código interno de la plataforma que una exposición directa de los proyectos privados de sus usuarios.
TeamPCP reclama el ataque
El incidente salió a la luz después de que el grupo TeamPCP afirmara en un foro de ciberdelincuencia haber accedido a código fuente de GitHub y a unos “4.000 repositorios privados”. Según la información publicada, los atacantes habrían intentado vender los datos robados por una cantidad mínima de 50.000 dólares.
GitHub no ha atribuido oficialmente la brecha a este grupo, pero la cifra comunicada por los delincuentes coincide de forma aproximada con la investigación de la empresa. TeamPCP, además, ya había sido vinculado anteriormente con campañas contra plataformas y ecosistemas utilizados por desarrolladores, incluidos GitHub, PyPI, npm, Docker y VS Code. SecurityWeek informó en marzo de una campaña atribuida a TeamPCP que afectó a repositorios y servicios de distribución de software, con robo de grandes volúmenes de datos y actividad contra plataformas de código abierto.
Por qué una extensión de VS Code puede ser tan peligrosa
Visual Studio Code es uno de los editores de código más utilizados del mundo. Su popularidad se apoya, en parte, en su ecosistema de extensiones, que permite añadir funciones, integrar herramientas, mejorar lenguajes de programación o conectar servicios externos. Pero esa misma flexibilidad lo convierte en un objetivo atractivo para los atacantes.
Una extensión maliciosa instalada en el entorno de desarrollo puede acceder a información especialmente sensible: tokens, claves API, variables de entorno, configuraciones internas, fragmentos de código, credenciales almacenadas de forma insegura o rutas de proyectos. En el contexto de una empresa tecnológica, comprometer el equipo de un desarrollador puede ser una puerta de entrada más eficaz que intentar vulnerar directamente los sistemas centrales.
Este caso demuestra que el riesgo no siempre está en una vulnerabilidad crítica de servidor. A veces, la vía de entrada es una herramienta aparentemente legítima instalada por una persona con acceso a repositorios internos.
