- Un empleado instaló una extensión maliciosa de Visual Studio Code que sirvió como puerta de entrada para los atacantes.
- Se han visto comprometidos aproximadamente 3.800 repositorios de código interno de la plataforma.
- El grupo TeamPCP se atribuye la autoría y ha intentado vender la información por 50.000 dólares.
- GitHub asegura que no hay evidencias de que los datos de clientes o repositorios externos hayan sido afectados.
La seguridad en el desarrollo de software ha recibido un golpe considerable. GitHub ha admitido que un grupo de ciberdelincuentes logró sustraer cerca de 3.800 repositorios internos tras aprovecharse de un descuido técnico en el equipo de uno de sus trabajadores. El incidente se originó por la instalación de un complemento infectado para el editor Visual Studio Code, lo que permitió a los atacantes saltar desde un dispositivo individual hasta las entrañas del sistema de la compañía.
Este suceso pone de manifiesto lo delicada que es la cadena de suministro de software hoy en día. Para quienes trabajan en el sector tecnológico en España y el resto de Europa, esto es un recordatorio de que el perímetro de seguridad ya no está solo en el servidor, sino que el propio entorno de programación se ha convertido en un blanco crítico para el malware.
El camino del ataque: una extensión troyanizada
El problema empezó cuando un empleado descargó una extensión aparentemente inofensiva desde el marketplace oficial de Microsoft. Estos plugins son muy comunes para mejorar la productividad, como ocurre con las mejores extensiones de VS Code, pero en este caso, la herramienta estaba diseñada para extraer datos en segundo plano. Una vez instalada, la extensión obtuvo permisos suficientes para leer archivos locales, capturar tokens de acceso y buscar claves SSH, facilitando el movimiento lateral hacia los servidores internos de GitHub.
La compañía reaccionó el pasado 19 de mayo al detectar la intrusión. De inmediato, procedieron a aislar el dispositivo comprometido y a eliminar la versión maliciosa del catálogo de extensiones. Para mitigar los daños, GitHub llevó a cabo una rotación masiva de credenciales y secretos críticos durante la noche, priorizando aquellos que representaban un riesgo mayor para la infraestructura.
TeamPCP y la puesta en venta del código
Aunque GitHub no ha señalado oficialmente a nadie, el colectivo TeamPCP (también conocido como UNC6780) ha presumido del ataque en el foro clandestino Breached. Según los delincuentes, disponen de unos 4.000 repositorios privados y estaban pidiendo al menos 50.000 dólares por la información. Curiosamente, afirmaron que no buscaban extorsionar a la empresa, sino encontrar un comprador único; de lo contrario, amenazaron con liberar los datos gratis.
Analistas de seguridad han corroborado que los nombres de los archivos filtrados, como paquetes relacionados con GitHub Copilot o reportes de riesgo de seguridad, coinciden con la arquitectura real de la plataforma. TeamPCP no es un actor nuevo; ya se les vincula con ataques previos contra Docker, NPM y PyPI, demostrando una especialización en golpear herramientas que los programadores consideran seguras.
Impacto real y riesgos para la comunidad
Un punto fundamental es que, según la empresa, la exfiltración se limitó a repositorios internos de la propia compañía. Esto significa que, en principio, los proyectos privados de los clientes y las organizaciones externas no han sido tocados. No obstante, GitHub admite que algunos de estos archivos internos podrían contener fragmentos de interacciones de soporte técnico, por lo que se contactará con los usuarios afectados si se confirma algún impacto directo.
Para las startups y empresas de software, especialmente en el entorno europeo donde la normativa de protección de datos es estricta, este caso es una señal de alarma. El hecho de que una sola extensión pueda comprometer miles de repositorios sugiere que la confianza ciega en los marketplaces de plugins es un riesgo inaceptable. Se recomienda encarecidamente realizar auditorías de las extensiones instaladas y forzar el uso de autenticación multifactor resistente al phishing.
El incidente deja una lección clara: la higiene básica de ciberseguridad es vital. Desde rotar los Personal Access Tokens (PATs) hasta implementar un modelo de Zero Trust en los equipos de desarrollo, es necesario dejar de asumir que la laptop de un programador es un entorno seguro por defecto. La dependencia de asistentes de IA y automatizaciones solo ha ampliado la superficie de ataque para los hackers.
La plataforma ha asegurado que seguirá monitorizando cualquier actividad sospechosa y que publicará un informe más detallado cuando la investigación concluya. De momento, el robo de estos 3.800 repositorios internos queda como una advertencia sobre la fragilidad de las herramientas de desarrollo modernas y la sofisticación de grupos como TeamPCP.
El robo de miles de archivos internos en GitHub, provocado por un plugin malicioso de VS Code y atribuido al grupo TeamPCP, resalta la vulnerabilidad de las cadenas de suministro de software. Aunque la compañía afirma que los datos de los clientes están a salvo y ha tomado medidas urgentes como la rotación de claves, el evento obliga a los desarrolladores a ser mucho más cautelosos con las extensiones que instalan en sus editores.