GitHub violado a través de una extensión de VS Code envenenada, 3,800 repos robados

      TL;DRGitHub confirmó que el grupo de ciberdelincuencia TeamPCP exfiltró aproximadamente 3,800 repositorios de código interno después de comprometer un dispositivo de un empleado a través de una extensión de VS Code envenenada. La plataforma de Microsoft dice que no se vieron afectados datos de clientes, pero la brecha destaca la creciente amenaza de ataques a la cadena de suministro que apuntan a herramientas de desarrollo.

      Es una inquietante ironía cuando la plataforma de alojamiento de código más grande del mundo se convierte en víctima de su propio ecosistema. GitHub confirmó el martes que un actor de amenazas exfiltró aproximadamente 3,800 repositorios internos después de comprometer el dispositivo de un empleado a través de una extensión de Visual Studio Code envenenada, marcando una de las brechas más significativas que la empresa de Microsoft ha revelado.

      Publicación de GitHub X

      El grupo de ciberdelincuencia TeamPCP, también rastreado como UNC6780, reclamó el crédito por el ataque en el foro de hacking Breached, donde ofreció los datos robados, que describió como código fuente propietario y archivos internos de la organización, por al menos $50,000. El grupo dijo que filtraría el material si no aparecía un comprador.

      El 💜 de la tecnología de la UELas últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Regístrate ahora!La investigación de GitHub encontró que la brecha comenzó cuando un empleado descargó una extensión maliciosa del Marketplace oficial de VS Code. Esa única instalación fue suficiente para darle al atacante acceso al dispositivo del empleado y, desde allí, a miles de los repositorios privados de la empresa. GitHub dijo que la afirmación del atacante de aproximadamente 3,800 repositorios era "direccionalmente consistente" con sus propios hallazgos.

      La empresa actuó rápidamente una vez que detectó la intrusión, aislando el dispositivo comprometido, eliminando la extensión y rotando credenciales críticas en cuestión de horas. GitHub enfatizó que la actividad involucró la exfiltración de repositorios internos únicamente y que no había encontrado evidencia de impacto en los datos de los clientes, cuentas empresariales o repositorios alojados por usuarios.

      Aún así, el incidente es un recordatorio contundente de cómo los ataques a la cadena de suministro que apuntan a herramientas de desarrollo pueden penetrar profundamente incluso en las organizaciones más conscientes de la seguridad. TeamPCP ha construido un formidable historial en este espacio. El grupo estuvo detrás del compromiso del escáner de vulnerabilidades Trivy de Aqua Security a principios de este año, un ataque que finalmente llevó a la exfiltración de 92 GB de datos de la infraestructura de AWS de la Comisión Europea. También ha apuntado a KICS de Checkmarx, la biblioteca de gateway de IA LiteLLM, el SDK de Telnyx, TanStack y paquetes asociados con MistralAI.

      El Marketplace de VS Code se ha convertido en un vector creciente para ataques a la cadena de suministro. A diferencia de los registros de paquetes tradicionales como npm o PyPI, las extensiones de navegador y editor a menudo reciben amplios permisos del sistema por defecto, lo que las hace particularmente atractivas para los atacantes que buscan acceso lateral. GitHub no ha nombrado la extensión específica involucrada en su brecha, y sigue sin estar claro si la extensión era una lista maliciosa recién publicada o una versión comprometida de una herramienta legítima.

      El momento añade más presión. La brecha de GitHub llega en medio de un aumento más amplio en los compromisos de la cadena de suministro de software que han afectado a organizaciones de diversos sectores. La pandilla ShinyHunters, que ha colaborado con TeamPCP en el pasado, publicó recientemente datos robados de la Comisión Europea. OpenAI fue blanco de un ataque a través de un paquete comprometido de TanStack. Y a principios de este mes, los investigadores documentaron cientos de paquetes maliciosos de npm de una campaña denominada Mini Shai-Hulud que estaba vinculada al mismo grupo de amenazas.

      Para GitHub, que alberga a más de 100 millones de desarrolladores y sirve como infraestructura crítica para la industria del software global, la brecha plantea preguntas incómodas sobre la seguridad de las herramientas en las que los desarrolladores confían implícitamente. Si una plataforma construida sobre revisión de código y control de versiones puede ser penetrada a través de una extensión deshonesta, las implicaciones para organizaciones con menos madurez en seguridad son preocupantes.

      GitHub dijo que su investigación está en curso. Ha contratado apoyo forense externo y está trabajando para determinar el alcance total de los datos accedidos. La empresa publicó sobre el incidente en X, reiterando que los datos de los clientes permanecieron sin afectar.

      Mientras tanto, TeamPCP no muestra signos de desaceleración. Desde instituciones de la UE hasta infraestructura de IA y la columna vertebral del desarrollo de código abierto, el grupo ha demostrado un libro de jugadas consistente: envenenar las herramientas de las que dependen las organizaciones, y el perímetro se vuelve irrelevante.