GitHub ha confirmado este martes una brecha de seguridad que permitió el robo de aproximadamente 3.800 repositorios internos tras la instalación de una extensión maliciosa de Visual Studio Code en el ordenador de un empleado. La compañía detectó y contuvo el acceso no autorizado el pasado 19 de mayo.
La plataforma de Microsoft ha explicado que el ataque se produjo cuando un empleado instaló una extensión comprometida dentro de Visual Studio Code. Ese complemento permitió a los atacantes acceder al dispositivo y posteriormente moverse hacia los repositorios internos de la compañía. GitHub ha confirmado que la cifra mencionada por los atacantes coincide de forma aproximada con lo encontrado en la investigación interna.
La respuesta de contención fue rápida, según la propia GitHub. El equipo comprometido fue aislado, la extensión maliciosa retirada y la compañía inició durante el 19 y 20 de mayo la rotación de credenciales críticas, dando prioridad a las de mayor impacto. «Nuestra evaluación actual es que la actividad involucró solo la exfiltración de repositorios internos de GitHub», ha precisado la empresa en un comunicado.
El grupo de piratas informáticos TeamPCP se ha atribuido el ataque y puso a la venta el supuesto código fuente de la plataforma por más de 50.000 dólares. La firma VECERT Analyzer ha señalado que los nombres de los archivos del listado publicado por el atacante coinciden con la arquitectura interna real de GitHub, incluyendo paquetes como github-copilot.tar.gz, red-team.tar.gz y github-security-risk-reporting.tar.gz.
GitHub no ha identificado al empleado cuyo equipo fue comprometido, no ha nombrado la extensión maliciosa y no ha precisado durante cuánto tiempo tuvo acceso el atacante antes de la detección. La compañía ha indicado que notificará a clientes afectados mediante sus canales estándar de respuesta a incidentes en caso de que la investigación detecte algún impacto más allá del alcance señalado hasta ahora.
El incidente pone de manifiesto un problema persistente para la industria del software: la fragilidad de la cadena de suministro que sostiene herramientas, librerías y complementos usados a diario por desarrolladores. Visual Studio Code es el editor de código dominante del planeta, presente en casi todas las grandes organizaciones de ingeniería. Su tienda de extensiones funciona sobre confianza comunitaria: cualquiera puede publicar, y la mayoría de los ingenieros instala complementos sin apenas revisarlos.
Expertos en ciberseguridad señalan que las extensiones de VS Code tienen un acceso enorme dentro del sistema: pueden leer archivos, ejecutar comandos y acceder a credenciales. Por eso una sola extensión maliciosa puede convertirse en una puerta de entrada gigantesca. La falta de verificación estricta en el Marketplace público de VS Code es uno de los principales problemas señalados por firmas como Wiz Research, que ya habían alertado de la presencia de cientos de secretos filtrados y extensiones troyanizadas.
El grupo TeamPCP ha sido vinculado a la explotación de Trivy Vulnerability Scanner a través de la vulnerabilidad CVE-2026-33634 a principios de 2026, que afectó a más de 1.000 empresas, entre ellas Cisco. También se les relacionó con campañas dirigidas a LiteLLM y Checkmarx.
El caso se suma a una ola de ataques de cadena de suministro que han golpeado al ecosistema open source durante 2026. GitHub ha prometido publicar un informe más completo una vez finalizada la investigación.
