GitHub vuelve a estar en el centro de la conversación tecnológica tras confirmar un incidente de seguridad que involucra una extensión maliciosa de Visual Studio Code. Según la compañía, el ataque fue detectado el lunes 18 de mayo y afectó el dispositivo de un empleado, desde donde los atacantes habrían logrado acceder a repositorios internos propiedad de GitHub.
La empresa explicó que retiró la versión maliciosa de la extensión, aisló el equipo comprometido e inició su proceso de respuesta ante incidentes. Además, GitHub aseguró que rotó secretos críticos entre el lunes y el martes, priorizando las credenciales de mayor impacto para reducir posibles riesgos.
El dato que más ha llamado la atención es la cifra: el atacante afirmó haber obtenido acceso a cerca de 3,800 repositorios internos, una cantidad que GitHub considera “direccionalmente consistente” con lo que ha encontrado hasta ahora en su investigación. Medios especializados como BleepingComputer también reportaron que el incidente se originó tras la instalación de una extensión de VS Code manipulada.
Por el momento, GitHub sostiene que la actividad detectada se limita a repositorios internos y que no existe evidencia de afectación directa a repositorios de clientes, empresas u organizaciones externas. Sin embargo, la compañía reconoció que algunos repositorios internos pueden contener fragmentos de información relacionada con clientes, como extractos de interacciones de soporte, por lo que continuará analizando registros y validando la rotación de secretos.
El caso vuelve a encender las alarmas sobre la seguridad en la cadena de suministro del software. Las extensiones de editores de código, aunque parecen herramientas simples de productividad, pueden convertirse en una puerta de entrada peligrosa si son manipuladas por atacantes. BleepingComputer señaló que el grupo TeamPCP habría reclamado la autoría y habría intentado vender los datos robados, aunque esas afirmaciones deben tratarse con cautela hasta que exista una confirmación completa.
GitHub anunció que publicará un informe más completo cuando finalice la investigación.
.png)
.png)
.png)
.png)
.png)
.png)
