✨︎ Resumen (TL;DR):
- Un empleado de la plataforma instaló una extensión maliciosa de Visual Studio Code que expuso las credenciales internas de la firma.
- El grupo de hackers TeamPCP puso a la venta la información robada en un foro de cibercrimen por 50,000 dólares.
- La compañía contuvo el ataque y aclaró que los datos de los clientes y empresas que usan el servicio no fueron afectados.
GitHub confirmó la filtración de aproximadamente 3,800 repositorios internos después de que uno de sus empleados instalara una extensión infectada en su entorno de Visual Studio Code (VS Code). La vulnerabilidad permitió el robo de credenciales, llaves de seguridad y accesos a la nube de la compañía.
El ataque fue reivindicado por el grupo de cibercriminales TeamPCP, que puso a la venta el código fuente de la plataforma en el foro de internet oscura Breached por un precio de 50,000 dólares.
“Como siempre, esto no es un rescate. No nos interesa extorsionar a GitHub, un comprador y destruimos los datos de nuestro lado”, publicó el grupo en el foro. Los atacantes amagaron con liberar el código de forma gratuita si no encuentran un comprador pronto.
La empresa de desarrollo de software detectó y contuvo el ataque el pasado lunes. Como respuesta, desinstaló el complemento malicioso, aisló la computadora afectada y canceló las credenciales de acceso comprometidas.
“Nuestra evaluación actual es que la actividad involucró únicamente la filtración de repositorios internos de GitHub”, señaló la compañía propiedad de Microsoft. La tecnológica admitió que la cifra de 3,800 repositorios reclamada por los atacantes coincide con los hallazgos de su propia investigación.
¿Cómo ocurrió el ataque a GitHub?
El vector de ataque fue un complemento envenenado dentro del catálogo oficial de VS Code, diseñado para recolectar llaves SSH y datos confidenciales del equipo infectado.
Aunque GitHub no reveló el nombre del plugin, investigadores sospechan de Nx Console, una extensión que sufrió recientemente una intrusión para el robo de accesos.
TeamPCP mantiene una campaña activa contra programadores desde marzo de 2026. Entre los desarrollos comprometidos previamente por el grupo se encuentran:
- Trivy de Aqua Security.
- KICS de Checkmarx.
- LiteLLM de BerriAI.
- Paquetes npm de TanStack.
- El paquete PyPI durabletask de Microsoft.
El malware detrás del hackeo
“Mini Shai-Hulud” es un software malicioso autoreplicable que roba tokens de entornos de desarrollo infectados para propagarse y extraer credenciales en la nube.
Tras admitirse la intrusión, una cuenta en X asociada a los hackers se burló de la compañía de forma directa.
“GitHub lo supo durante horas, se retrasaron en decírselos y no serán honestos en el futuro. Qué gran viaje, ha sido un honor jugar con los gatos estos últimos meses”, publicaron los atacantes en redes sociales.
GitHub reiteró que no existe evidencia de afectaciones en los datos alojados en cuentas externas, organizaciones de clientes o repositorios ajenos a la estructura interna de la firma.
