✨︎ Resumen (TL;DR):
- GitHub sufrió el robo de 3,800 repositorios internos debido a una versión comprometida de la extensión Nx Console.
- La actualización maliciosa estuvo disponible solo unos minutos, pero acumuló cerca de 6,000 activaciones automáticas.
- El incidente forma parte de una campaña de ataque a la cadena de suministro que también afectó a proyectos como TanStack.
GitHub confirmó un acceso no autorizado a 3,800 repositorios internos provocado por la instalación de una versión maliciosa de Nx Console, una popular extensión de VS Code. El incidente, detectado el pasado 18 de mayo de 2026, expone los graves riesgos de seguridad en la cadena de suministro de software y el alcance que puede tener un editor de código comprometido en los equipos de desarrollo corporativos.
El compromiso ocurrió tras el hackeo de la cuenta de un desarrollador de Nx Console. Esto permitió inyectar código malicioso en la versión 18.95.0, la cual se distribuyó rápidamente a través de tiendas oficiales como Visual Studio Marketplace y OpenVSX.
A pesar de que la extensión estuvo disponible apenas 18 minutos en la tienda de Microsoft (de 12:30 a 12:48 UTC) y 36 minutos en OpenVSX, el impacto fue inmediato. El software malicioso atacó directamente las computadoras de los desarrolladores que descargaron o actualizaron de manera automática la herramienta.
“No tenemos evidencia de impacto en información de clientes almacenada fuera de los repositorios internos de GitHub”, aclaró la compañía. Sin embargo, admitieron que algunos repositorios internos podrían contener datos de interacciones de soporte técnico, por lo que notificarán a los afectados si es necesario.
Un botín de credenciales al alcance del malware
Las herramientas de desarrollo son sumamente atractivas para los atacantes porque tienen acceso directo a la infraestructura interna de las empresas. El malware inyectado en la extensión buscaba exfiltrar información extremadamente sensible del sistema de archivos de los programadores.
Entre los objetivos principales del ataque se encontraban:
- Tokens de acceso de npm y GitHub.
- Credenciales para servicios en la nube de AWS, GCP y contenedores Docker.
- Secretos de administración de Kubernetes y sesiones activas del gestor de contraseñas 1Password.
- Llaves privadas y cadenas de conexión activas.
En sistemas operativos Linux, el malware intentó obtener persistencia mediante modificaciones en la configuración de sudoers. Toda la información obtenida fue exfiltrada mediante conexiones seguras HTTPS, llamadas a la API de GitHub y peticiones de DNS falsas.
El riesgo invisible de las autoactualizaciones
Mientras que Microsoft y OpenVSX reportaron únicamente 28 y 41 descargas directas del archivo infectado, la telemetría interna de Nx detectó un panorama mucho más preocupante. Sus sistemas registraron cerca de 6,000 activaciones de la extensión dos días después del ataque, un volumen impulsado por los sistemas de autoactualización de los editores de código.
El origen del ataque se vincula con un compromiso en cadena que comenzó en el proyecto TanStack, donde se filtraron credenciales mediante la herramienta de consola de GitHub. “Uno de nuestros desarrolladores fue comprometido por un ataque reciente de cadena de suministro contra TanStack”, explicaron desde el equipo de Nx Console.
Antes de este evento, un solo desarrollador de Nx podía autorizar y publicar actualizaciones. Tras el incidente, la organización endureció sus flujos de trabajo en el pipeline de desarrollo, requiriendo ahora la aprobación manual de al menos dos administradores.
Como respuesta inmediata, GitHub rotó todas las credenciales críticas expuestas para contener posibles filtraciones. El grupo de cibercriminales TeamPCP se atribuyó el robo de los repositorios en foros especializados, aunque GitHub ha evitado hacer una atribución formal hasta el momento. La compañía prometió liberar un análisis detallado una vez que concluyan las investigaciones internas.
