GitHub confirma el robo de 3.800 repositorios tras una extensión maliciosa de VS Code

GitHub acaba de confirmar uno de los incidentes de seguridad más delicados del año: atacantes lograron acceder a cerca de 3.800 repositorios internos después de comprometer el computador de un empleado mediante una extensión maliciosa de Visual Studio Code.

Sí, una simple extensión instalada en VS Code terminó abriendo la puerta a miles de repositorios privados internos de GitHub.

Y honestamente… eso está poniendo bastante nervioso al mundo del desarrollo.

Todo comenzó con una extensión “envenenada” de VS Code

Según explicó GitHub, el ataque ocurrió cuando un empleado instaló una extensión comprometida dentro de Visual Studio Code. Esa extensión permitió a los atacantes acceder al dispositivo y posteriormente moverse hacia repositorios internos de la compañía.

GitHub aseguró que logró detectar y contener rápidamente el incidente:

• aisló el equipo comprometido
• eliminó la extensión maliciosa
• rotó credenciales críticas
• inició protocolos de respuesta de emergencia

La empresa también aclaró que, por ahora, no existen evidencias de que repositorios privados de usuarios o empresas hayan sido afectados.

El grupo TeamPCP estaría detrás del ataque

El grupo de hackers TeamPCP se atribuyó el ataque y aseguró haber robado miles de repositorios internos junto con código fuente y documentación privada.

De hecho, los atacantes ya comenzaron a ofrecer parte de la información robada en foros clandestinos.

GitHub confirmó que la cifra mencionada por los atacantes —unos 3.800 repositorios— “coincide de forma aproximada” con lo encontrado en la investigación interna.

Y sí… eso hace que todo el incidente se vea bastante serio.

El verdadero problema son las herramientas de desarrollo

Expertos en ciberseguridad aseguran que este caso demuestra algo preocupante: las herramientas de desarrollo se han convertido en uno de los objetivos favoritos de los ataques modernos.

Las extensiones de VS Code tienen acceso enorme dentro del sistema:

• tokens
• claves SSH
• credenciales cloud
• repositorios locales
• sesiones activas

Por eso una sola extensión maliciosa puede convertirse en una puerta de entrada gigantesca.

Y lo más inquietante es que muchos desarrolladores instalan extensiones prácticamente a diario sin revisarlas demasiado.

Los ataques a la cadena de suministro siguen creciendo

El caso GitHub se suma a una ola enorme de ataques de “supply chain” o cadena de suministro que vienen golpeando al ecosistema open source durante 2026.

TeamPCP ya había sido relacionado anteriormente con ataques contra:

• paquetes npm
• herramientas DevOps
• librerías open source
• plugins Jenkins
• frameworks de IA

Muchos de estos ataques funcionan igual: comprometer herramientas que los desarrolladores consideran confiables.

Y ahí está precisamente el peligro.

GitHub dice que los usuarios no fueron afectados

Hasta el momento, GitHub insiste en que no encontró evidencia de acceso a:

• repositorios privados de clientes
• cuentas empresariales
• datos públicos de usuarios
• proyectos alojados fuera de sus sistemas internos

La compañía continúa monitoreando actividad sospechosa mientras investiga el alcance total del incidente.

Aun así, expertos advierten que la filtración de código interno podría facilitar futuros ataques o revelar vulnerabilidades adicionales dentro de la infraestructura de GitHub.

El IDE ya se convirtió en parte del perímetro de seguridad

Durante años la seguridad se enfocó principalmente en servidores y redes corporativas. Ahora los atacantes están apuntando directamente a los computadores de los desarrolladores.

Porque sí… hoy el editor de código también es un objetivo crítico. Y sinceramente, probablemente veremos más ataqques como este durante los próximos meses.

Fuente

CATEGORÍAS:

Seguridad, Software, Software libre