Suscribirse

Suscríbete a nuestro boletín

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias
Tecnología y Ciencia Ciberseguridad

GitHub confirma brecha de 3,800 repos internos por extensión maliciosa de VS Code

GitHub confirmó robo de 3,800 repos internos por una extensión maliciosa de VS Code.

John P. imagen de perfil
por John P.
Publicado
GitHub confirma brecha de 3,800 repos internos por extensión maliciosa de VS Code
Photo by Yancy Min / Unsplash

TL;DR:

GitHub confirmó que un dispositivo de empleado fue comprometido mediante una extensión maliciosa de VS Code.
La compañía considera que el reclamo de ~3,800 repositorios internos afectados coincide de forma aproximada con su investigación.
GitHub dice que no tiene evidencia de impacto en datos de clientes fuera de sus repos internos, pero la investigación sigue abierta.

GitHub confirmó una brecha que afectó aproximadamente 3,800 repositorios internos después de que un empleado instaló una extensión envenenada de VS Code. La compañía retiró la versión maliciosa del Marketplace, aisló el dispositivo comprometido e inició su respuesta al incidente. El caso importa porque golpea justo el punto que muchas empresas subestiman: las herramientas de desarrollo también pueden ser una puerta de entrada para ataques de supply chain.

"Detectamos y contuvimos el compromiso de un dispositivo de empleado que involucró una extensión envenenada de VS Code."

La empresa no ha atribuido públicamente el ataque a un grupo específico. TeamPCP, sin embargo, se adjudicó el acceso en un foro de ciberdelincuencia y afirmó tener alrededor de 4,000 repositorios de código privado, ofreciendo los datos por al menos 50,000 dólares. GitHub dijo que la cifra de ~3,800 repositorios es “direccionalmente consistente” con su investigación hasta ahora.

"Nuestra evaluación actual es que la actividad implicó únicamente la exfiltración de repositorios internos de GitHub."

El matiz es clave: GitHub sostiene que, por ahora, no tiene evidencia de impacto en información de clientes almacenada fuera de sus repositorios internos, incluidos enterprises, organizaciones y repositorios de clientes. Aun así, la investigación continúa y la compañía dijo que publicará un reporte más completo cuando cierre el análisis del incidente.

VS Code es el editor de código de Microsoft, y sus extensiones son plugins que agregan funciones como soporte para lenguajes, pruebas, integraciones de cloud, asistentes de IA o herramientas de productividad. El problema es que esas extensiones corren muy cerca del código, los secretos, los tokens y los flujos de build de los desarrolladores.

a laptop with a green screen
Photo by TRG / Unsplash

La brecha de GitHub expone el punto ciego de las extensiones de desarrollo

GitHub reaccionó con medidas de contención: retiró la extensión maliciosa, aisló el endpoint afectado y rotó secretos críticos, priorizando las credenciales de mayor impacto. También dijo que continúa analizando logs, validando la rotación de secretos y monitoreando actividad posterior.

Los puntos confirmados hasta ahora son concretos:

  • Vector del ataque: una extensión maliciosa de Visual Studio Code instalada en un dispositivo de empleado.
  • Alcance preliminar: exfiltración limitada a repositorios internos de GitHub, según la evaluación actual de la empresa.
  • Cifra relevante: la reclamación de ~3,800 repositorios coincide de forma aproximada con la investigación.
  • Datos de clientes: GitHub dice que no tiene evidencia de impacto fuera de esos repositorios internos.
  • Medidas tomadas: retiro de la extensión, aislamiento del dispositivo, rotación de secretos y monitoreo de actividad posterior.

El caso pega más fuerte porque GitHub no es una plataforma menor. La propia compañía presume más de 180 millones de desarrolladores, más de 4 millones de organizaciones, más de 420 millones de repositorios y uso por parte de más del 90% de las empresas Fortune 100. Cuando un ataque toca su infraestructura interna, el impacto reputacional rebasa a GitHub y manda una alerta a todo equipo que depende de extensiones, paquetes y automatizaciones de terceros.

TeamPCP vuelve a aparecer en ataques contra herramientas de desarrolladores

TeamPCP ya había sido relacionado con campañas contra ecosistemas de desarrollo como GitHub, PyPI, npm y Docker, además de incidentes recientes ligados a supply chain. The Record reportó que el grupo ha participado en una serie de ataques desde marzo contra herramientas de desarrolladores, incluidos TanStack, Trivy y LiteLLM.

La lectura de fondo no es que todos deban dejar de usar extensiones de VS Code. La señal real es más incómoda: los atacantes están persiguiendo el punto donde viven las credenciales, los repos, los archivos .env, las sesiones y los permisos de despliegue. Una extensión con apariencia legítima puede convertirse en un canal silencioso para robar acceso.

Aikido Security lo planteó desde el ángulo técnico: las extensiones, paquetes npm y distribuciones PyPI operan en una capa que muchas defensas tradicionales no observan bien. Su análisis señala que incluso versiones maliciosas activas durante minutos pueden bastar para alcanzar máquinas de desarrollo si los equipos no controlan actualizaciones recientes o extensiones recién publicadas.

Para empresas en México y Latinoamérica que trabajan con software distribuido, nearshoring tecnológico o proveedores externos, el mensaje es directo: revisar dependencias ya no basta. También hay que auditar extensiones del IDE, permisos de desarrolladores, rotación de secretos, acceso mínimo necesario y políticas para instalar herramientas nuevas.

GitHub promete publicar un reporte más completo cuando cierre la investigación. Mientras tanto, la brecha deja una lección simple y dura: en 2026, el riesgo de supply chain también vive dentro del editor de código.

Fuentes: 1, 2, 3, 4, 5, 6

John P. imagen de perfil
por John P.
Publicado

Leer más