Violación de seguridad de GitHub: CZ advierte a los desarrolladores de cifrado que roten las claves API de inmediato

Tabla de contenido GitHub ha lanzado una investigación de seguridad integral luego del descubrimiento de acceso no autorizado a sus repositorios de código internos. El incidente de seguridad se originó a partir de una extensión de VS Code comprometida que se infiltró en la estación de trabajo de un empleado. 1/ Estamos compartiendo detalles adicionales sobre nuestra investigación sobre el acceso no autorizado a los repositorios internos de GitHub. Ayer detectamos y contuvimos un compromiso de un dispositivo de empleado que involucraba una extensión de VS Code envenenada. Eliminamos la versión de extensión maliciosa… – GitHub (@github) 20 de mayo de 2026 La plataforma propiedad de Microsoft identificó y neutralizó la amenaza a la seguridad el martes. Su respuesta incluyó eliminar la extensión maliciosa, poner en cuarentena el sistema comprometido e iniciar inmediatamente su protocolo de respuesta a incidentes. La infracción resultó en un acceso no autorizado a aproximadamente 3.800 repositorios de códigos internos. GitHub ha verificado que este número se corresponde con las declaraciones realizadas por la organización cibercriminal que se atribuye la responsabilidad. TeamPCP, un colectivo de hackers, se ha presentado como el autor de este incidente de seguridad. El grupo está comercializando activamente los datos exfiltrados en foros clandestinos, alegando posesión de aproximadamente 4.000 repositorios que contienen código propietario de la infraestructura principal y las divisiones internas de GitHub. Los investigadores de seguridad caracterizan a TeamPCP como un actor de amenazas avanzado que emplea una amplia automatización para apuntar a entornos de desarrolladores, con el objetivo de extraer credenciales valiosas para la explotación monetaria. Los informes indican que están buscando un precio mínimo de 50.000 dólares por la información comprometida. La investigación preliminar de GitHub indica que no hay evidencia que sugiera que la información de los clientes almacenada fuera de sus repositorios internos haya sido comprometida. La plataforma garantiza a los usuarios que los repositorios de clientes, las instalaciones empresariales y las cuentas organizativas no se verán afectados. La plataforma de desarrollo ya ha pasado por credenciales de autenticación críticas, centrando los esfuerzos iniciales en los tokens de acceso más sensibles. Sus equipos de seguridad continúan examinando los registros del sistema y manteniendo una vigilancia atenta para detectar cualquier comportamiento malicioso posterior. GitHub se ha comprometido a publicar un informe post mortem completo una vez finalizada su investigación. El fundador de Binance, Changpeng Zhao, emitió una rápida respuesta a la divulgación de seguridad. Hizo una fuerte recomendación para que los desarrolladores de criptomonedas realicen un ciclo inmediato de todas las credenciales de API integradas en el código fuente, particularmente aquellas en repositorios privados. "Si tiene claves API en su código, incluso repositorios privados, ahora es el momento de verificarlas y cambiarlas", dijo Zhao. Los desarrolladores de criptomonedas dependen en gran medida de GitHub para crear y mantener infraestructura y aplicaciones descentralizadas. Las credenciales de API de Exchange, las claves de acceso a billeteras y los tokens de autenticación de infraestructura se integran con frecuencia en repositorios para su implementación en sistemas de comercio automatizados, aplicaciones blockchain y herramientas de desarrollo. Los profesionales de la ciberseguridad recomiendan a los desarrolladores que realicen análisis exhaustivos en busca de secretos incrustados utilizando herramientas especializadas como GitHub Secret Scanning, Gitleaks o Trivy. También recomiendan encarecidamente abandonar la práctica de codificar credenciales confidenciales directamente dentro de repositorios controlados por versiones. Este incidente de seguridad sigue de cerca a un compromiso separado en Grafana Labs, que reveló un ataque a la cadena de suministro el martes. Los actores de amenazas penetraron en su infraestructura de GitHub y emitieron demandas de extorsión, que la empresa se negó a cumplir. El compromiso de GitHub también surge poco después de la revelación del 28 de abril de una grave vulnerabilidad de seguridad, CVE-2026-3854. Esta falla particular permitió a los usuarios autenticados ejecutar comandos no autorizados en la infraestructura del servidor de GitHub y potencialmente comprometió millones de repositorios de códigos públicos y privados. GitHub ha declarado que mantendrá un monitoreo continuo de su infraestructura tecnológica y brindará actualizaciones continuas durante todo el proceso de investigación.