La violación de GitHub se remonta a una extensión de VS Code envenenada
La empresa de repositorio de códigos en línea GitHub dice que una reciente violación de sus datos internos se debió a que un miembro del personal descargó una extensión VS Code "envenenada".
La firma propiedad de Microsoft reveló por primera vez en las primeras horas de esta mañana que estaba investigando el acceso no autorizado a sus repositorios internos.
Desde entonces, GitHub ha compartido que la infracción solo afectó a los repositorios internos de GitHub.
Añadió: "Las afirmaciones actuales del atacante de ~3.800 repositorios son direccionalmente consistentes con nuestra investigación hasta el momento".
La infracción implica una extensión maliciosa de VS Code descargada del mercado de extensiones VS Code de Microsoft. VS Code significa Visual Studio Code y el mercado ofrece varias herramientas y aplicaciones para que los editores de código las descarguen.
1/ Estamos compartiendo detalles adicionales sobre nuestra investigación sobre el acceso no autorizado a los repositorios internos de GitHub. Ayer detectamos y contuvimos un compromiso de un dispositivo de empleado que involucraba una extensión de VS Code envenenada. Eliminamos la versión de la extensión maliciosa,…
– GitHub (@github) 20 de mayo de 2026
GitHub dijo que "publicará un informe más completo una vez que se complete la investigación".
El grupo de piratas informáticos que afirma haber violado los repositorios de GitHub es TeamPCP, que ha sido vinculado al ataque a la cadena de suministro de Mini Shai Halud que afectó a OpenAI, así como a una serie de otros ataques a la cadena de suministro dirigidos a software de desarrollo.
El grupo está vendiendo los aproximadamente 4.000 repositorios privados en el foro de piratería Breached por no menos de 50.000 dólares, al tiempo que enfatiza que no aceptará ninguna "oferta baja".
Decía: "Esto no es un rescate, no nos importa extorsionar a GitHub". Los datos de su parte supuestamente serán "triturados" después de la venta, y si no puede encontrar un comprador, TeamPCP dijo que filtrará los datos de forma gratuita.
GitHub dice que ha eliminado la "extensión maliciosa"
GitHub afirma que "eliminó la versión de la extensión maliciosa, aisló el punto final y comenzó a responder al incidente de inmediato".
“Los secretos críticos se rotaron ayer y durante la noche, dando prioridad primero a las credenciales de mayor impacto”, dijo la firma, y agregó que continuará monitoreando la situación.
La recepción del incidente no ha sido indulgente. Los usuarios notaron quejas de larga data contra ex ejecutivos de Microsoft y GitHub que solicitaron soluciones para descargas plagadas de malware dentro del mercado de extensiones de VS Code.
¿Puedes solucionar el problema con las personas que implementan malware en el mercado de extensiones vscode? Me estoy cansando de enviar correos todas las semanas a [email protected], arregla tu puto mercado
– Krakovia (@krakovia_evm) 19 de diciembre de 2024
Esta denuncia fue presentada contra el ex director ejecutivo de GitHub hace dos años.
El ex director ejecutivo de Binance, Changpeng Zhao, advirtió: "Si tiene claves API en su código, incluso repositorios privados, ahora es el momento de verificarlas y cambiarlas..."
El director ejecutivo de la empresa de codificación Treehouse, Ryan Carson, advirtió de manera similar: "Si tiene CUALQUIER repositorio privado con secretos de texto sin formato o documentos/arquitecturas confidenciales, rote inmediatamente sus secretos".
El experto en criptoseguridad Taylor Monahan se sumó a la declaración de Zhao y dijo que deberías sacar tus claves API "de tus repositorios".
"Su mayor riesgo no es este. Es que sus propios desarrolladores sean golpeados por una de estas malditas cadenas de suministro con gusanos y filtren todos esos secretos", dijo Monahan.
Segunda filtración de GitHub en días
La empresa de software Grafana también afirmó a principios de esta semana que fue testigo de un acceso no autorizado a sus repositorios de GitHub.
Afirma que los atacantes "descargaron nuestro código base" antes de emitir "una demanda de rescate bajo amenaza de divulgación de datos".
⚠️ El 16 de mayo de 2026, confirmamos un ataque dirigido por parte de un grupo de delitos cibernéticos que obtuvo acceso no autorizado a nuestros repositorios de GitHub y descargó nuestro código base. Aquí está la última actualización sobre nuestras investigaciones. https://t.co/C2btjWDOxu
– Grafana (@grafana) 19 de mayo de 2026
En este caso, Grafana afirma que la infracción también se debió al ataque a la cadena de suministro asociado con la campaña Mini Shai-Hulud.
Decía: "Realizamos análisis y rotamos rápidamente una cantidad significativa de tokens de flujo de trabajo de GitHub, pero un token perdido llevó a los atacantes a obtener acceso a nuestros repositorios de GitHub. Una revisión posterior confirmó que un flujo de trabajo de GitHub específico que originalmente consideramos que no había sido afectado, de hecho, se había visto comprometido".
En 2024, las contraseñas filtradas y el código de sitio procedente de Binance estuvieron visibles en GitHub durante meses antes de que finalmente fueran eliminados.
El intercambio dijo que las filtraciones podían causar "daños financieros graves" y que la carga de sus datos nunca fue autorizada.
Protos se comunicó con GitHub para hacer comentarios y actualizará este artículo si escuchamos algo.