GitHub confirma la brecha de 3.800 repositorios a través de una extensión de VS Code envenenada

GitHub está lidiando con una grave brecha de seguridad interna. La empresa confirmó el 20 de mayo de 2026 que unos hackers comprometieron el dispositivo de un empleado mediante una extensión de VS Code envenenada. Obtuvieron acceso no autorizado a aproximadamente 3.800 repositorios internos. 

GitHub actuó con rapidez, aislando el dispositivo, eliminando la extensión maliciosa y rotando las credenciales críticas en pocas horas tras la detección. Es importante destacar que la empresa afirma que actualmente no hay evidencia de impacto en los datos de clientes, cuentas empresariales o repositorios de usuarios. La noticia de GitHub hoy es un llamado de atención para todo desarrollador que tenga Claves API almacenadas en repositorios privados.

Cómo ocurrió el ataque

El vector de ataque fue engañosamente simple. Un actor de amenazas insertó malware dentro de una extensión de VS Code. Un empleado de GitHub instaló la versión envenenada. A partir de ahí, el atacante obtuvo acceso al dispositivo del empleado y comenzó a exfiltrar datos de repositorios internos.

GitHub confirmó la cronología directamente en un hilo público. "Ayer detectamos y contuvimos el compromiso del dispositivo de un empleado que involucraba una extensión de VS Code envenenada", declaró la empresa. "Eliminamos la versión maliciosa de la extensión, aislamos el endpoint y comenzamos la respuesta al incidente de inmediato."

El grupo de amenazas TeamPCP ha reclamado posteriormente la responsabilidad en foros clandestinos de ciberdelincuencia. El grupo alega haber obtenido datos de aproximadamente 4.000 repositorios privados. Incluye código fuente propietario de la plataforma y archivos internos de la organización, y según se informa, intenta vender el conjunto de datos por más de $50.000. GitHub evaluó que la afirmación del atacante de aproximadamente 3.800 repositorios es "direccionalmente consistente" con los hallazgos de su investigación hasta el momento.

Respuesta de GitHub

La respuesta ante la brecha de seguridad avanzó en múltiples frentes simultáneamente. GitHub rotó los secretos críticos el mismo día de la detección, priorizando primero las credenciales de mayor impacto. El equipo de seguridad aisló el endpoint afectado de inmediato. Los analistas examinan continuamente los registros en busca de cualquier actividad posterior. Además, el marketplace eliminó de circulación la versión maliciosa de la extensión de VS Code. GitHub se comprometió a publicar un informe más completo una vez que la investigación esté concluida. Prometieron notificar a los clientes a través de los canales establecidos de respuesta a incidentes si se descubre algún impacto en los clientes.

Reacción de la industria

La comunidad de desarrolladores en general respondió con rapidez. El fundador de Binance, CZ, emitió un aviso directo a su audiencia. "Si tienes Claves API en tu código, incluso en repositorios privados, ahora es el momento de verificarlas y cambiarlas", publicó, amplificando la noticia sobre la brecha de seguridad de GitHub a millones de desarrolladores en todo el mundo. Ese consejo no es preventivo. Es urgente. Los desarrolladores frecuentemente almacenan Claves API, tokens de autenticación y credenciales de servicios dentro de repositorios privados, asumiendo que están a salvo de quedar expuestos.

El panorama general para los desarrolladores

Las noticias sobre una brecha de seguridad de esta escala en GitHub tienen implicaciones desproporcionadas. Esto se debe a que GitHub aloja más de 100 millones de repositorios y sirve como la principal infraestructura de código para el ecosistema global de desarrolladores. En consecuencia, una brecha dirigida a repositorios internos, incluso sin exposición de datos de clientes, revela la enorme superficie de ataque que representan las amenazas a la cadena de suministro.

Para los desarrolladores, tres acciones inmediatas son importantes. Primero, rotar cualquier Clave API almacenada en repositorios, ya sean privados o públicos. Segundo, auditar las listas de extensiones en VS Code y eliminar cualquier elemento no verificado. Por último, habilitar el escaneo de secretos en repositorios para detectar credenciales expuestas automáticamente. Aunque la investigación está en curso, la transparencia de GitHub a lo largo del proceso ha sido destacable. El informe más completo, cuando se publique, será una lectura esencial para cada equipo de seguridad en el sector tecnológico.

The post GitHub Confirms Breach of 3,800 Repos via Poisoned VS Code Extension  appeared first on Coinfomania.