GitHub investiga acceso no autorizado a repositorios internos tras compromiso de dispositivo de empleado

El grupo de hackers TeamPCP reivindica el ataque y afirma tener acceso a 4,000 repositorios de código privado de la plataforma de desarrollo.

El incidente de seguridad

GitHub anunció el miércoles que investiga un acceso no autorizado a sus repositorios internos tras el compromiso de un dispositivo de empleado a través de una extensión maliciosa de VS Code. La plataforma de desarrollo de software, propiedad de Microsoft, detectó y contuvo el compromiso el martes. Según informó la compañía, el ataque involucró una extensión de VS Code envenenada que permitió el acceso no autorizado a repositorios internos.

«Eliminamos la versión maliciosa de la extensión, aislamos el endpoint e iniciamos la respuesta a incidentes de inmediato», declaró GitHub en un comunicado oficial.

La empresa indicó que continúa monitoreando su infraestructura para detectar actividad secundaria derivada del compromiso inicial. «Si bien actualmente no tenemos evidencia de impacto en la información de clientes almacenada fuera de los repositorios internos de GitHub, estamos monitoreando de cerca nuestra infraestructura para detectar actividad secundaria», agregó.

TeamPCP reclama responsabilidad

El grupo de hackers TeamPCP reivindicó la autoría del ataque, según reportó Security Week. De acuerdo con el medio especializado, se trata de un grupo sofisticado con alta automatización que convierte herramientas de desarrollador comprometidas en máquinas de recolección de credenciales.

TeamPCP, que opera en foros de hackers underground y tiene motivación financiera, afirma haber obtenido acceso a «4,000 repositorios de código privado» de GitHub. Según las afirmaciones del grupo, el código comprometido estaría relacionado con la plataforma principal de GitHub y organizaciones internas. Los atacantes intentan vender los datos obtenidos en línea, aunque la veracidad de sus afirmaciones no ha sido confirmada de manera independiente hasta el momento.

Reacción de la comunidad

Changpeng Zhao, fundador de Binance, advirtió a los desarrolladores sobre los riesgos asociados al incidente. «Si tienes claves API en tu código, incluso en repositorios privados, ahora es el momento de verificar dos veces y cambiarlas», declaró Zhao en un mensaje difundido en redes sociales.

La advertencia del ejecutivo refleja la preocupación generalizada en la comunidad de desarrolladores ante la posibilidad de que credenciales y claves de acceso almacenadas en repositorios comprometidos puedan ser utilizadas para ataques secundarios.

Contexto y amenazas recientes

El incidente ocurre en un contexto de creciente actividad de ciberataques dirigidos a plataformas de desarrollo de software.

Ataque a Grafana Labs

El martes, un día antes del anuncio de GitHub, la empresa Grafana Labs informó haber sufrido un ataque a la cadena de suministro. Actores maliciosos accedieron a repositorios de GitHub y descargaron la base de código de la compañía. Los atacantes exigieron un rescate bajo amenaza de divulgación de datos, demanda que la empresa no cumplió.

Vulnerabilidad crítica CVE-2026-3854

El 28 de abril, solo días antes de estos incidentes, se divulgó públicamente la vulnerabilidad CVE-2026-3854, una falla crítica de ejecución remota de código. Descubierta por Wiz Research, la vulnerabilidad permitía a usuarios autenticados ejecutar comandos arbitrarios en servidores de GitHub. Según los investigadores, millones de repositorios públicos y privados de otros usuarios y organizaciones eran accesibles en los nodos afectados por esta vulnerabilidad.

Implicaciones y recomendaciones

El incidente pone de relieve los riesgos asociados al uso de extensiones de VS Code y otras herramientas de desarrollo de terceros. Los expertos en seguridad recomiendan a los desarrolladores verificar la procedencia y seguridad de las extensiones antes de instalarlas, así como rotar periódicamente las claves API y credenciales almacenadas en repositorios.

GitHub, como plataforma central para millones de desarrolladores y proyectos de código abierto, enfrenta un escenario de amenazas creciente donde los ataques dirigidos a cadenas de suministro de software y las vulnerabilidades en herramientas de desarrollo se han convertido en vectores de ataque cada vez más frecuentes. La compañía continúa con su investigación y ha instado a los usuarios a reportar cualquier actividad sospechosa relacionada con sus cuentas.