GitHub ha confirmado que se accedió sin autorización a casi 3,800 repositorios de código internos, tras el compromiso del ordenador de un empleado a través de una extensión maliciosa de VS Code. La plataforma, propiedad de Microsoft, inició una investigación de seguridad en profundidad inmediatamente después del incidente. Los equipos de seguridad neutralizaron rápidamente la amenaza detectada, eliminaron la extensión maliciosa, pusieron en cuarentena el sistema afectado y activaron sus protocolos de respuesta a incidentes.
Se identifica a TeamPCP como los perpetradores
Las autoridades han verificado que el ciberataque fue orquestado por un grupo de hackers conocido como TeamPCP. Funcionarios del orden público y investigadores independientes señalan que el grupo se apoya en técnicas de intrusión automatizadas que apuntan específicamente a los desarrolladores de software. TeamPCP afirma haber tomado el control de aproximadamente 4,000 repositorios que contienen código de infraestructura crítica en los servidores de GitHub y ha comenzado a ofrecer los datos robados en foros clandestinos con un precio de partida de al menos $50,000.
GitHub enfatizó en una declaración que los repositorios de clientes, las instalaciones empresariales y las cuentas de usuarios no se vieron afectados; solo los repositorios de código interno dentro de los sistemas de la empresa fueron atacados.
Los expertos indican que TeamPCP explotó vulnerabilidades en entornos de desarrolladores y en las líneas de despliegue de código automatizado, buscando obtener tokens de sesión valiosos y credenciales de autenticación.
Glosario: Una extensión de VS Code es un pequeño plugin que añade características extra al popular editor de código de Microsoft, Visual Studio Code. Las extensiones maliciosas pueden infiltrarse en el sistema de un desarrollador y acceder a datos sensibles.
Medidas de seguridad y cronograma de respuesta
A raíz de la brecha, GitHub rotó los tokens de acceso potencialmente comprometidos y comenzó a realizar una revisión detallada de los registros del sistema. La empresa informó que sus equipos de seguridad han aumentado la supervisión para detectar actividades sospechosas. Un informe final del incidente se compartirá con el público una vez que concluya la investigación.
| Incidente | Cantidad de Repositorios Afectados | Grupo/Entidad Involucrada | Datos Objetivo |
|---|---|---|---|
| Brecha de GitHub | 3,800+ | TeamPCP | Código interno, credenciales |
| Cadena de suministro de Grafana Labs | Desconocido | Desconocido | Código de infraestructura, credenciales |
La comunidad cripto da la voz de alarma
Tras el incidente, el fundador de Binance, Changpeng Zhao, emitió una importante advertencia dirigida específicamente a los desarrolladores dentro del sector cripto. Zhao instó a todos los desarrolladores cripto a rotar inmediatamente cualquier credencial API almacenada en bases de código o repositorios privados.
Se recomienda encarecidamente a los desarrolladores que revisen y reemplacen las claves de API mantenidas en repositorios públicos y privados sin demora.
Los desarrolladores de aplicaciones cripto dependen en gran medida de los recursos e infraestructura de GitHub para operaciones críticas. Los sistemas de trading automatizados, las claves de acceso a carteras y otros secretos a menudo se almacenan en repositorios de código. Los profesionales de la seguridad advierten que incrustar claves sensibles directamente en el código fuente introduce grandes riesgos, y recomiendan realizar escaneos exhaustivos utilizando herramientas especializadas como gitleaks, Trivy y GitHub Secret Scanning.
Recientemente, Grafana Labs también enfrentó un ataque a la cadena de suministro, llamando la atención generalizada en el sector sobre las vulnerabilidades expuestas por el incidente de GitHub. Además, una importante falla de seguridad divulgada a finales de abril (CVE-2026-3854) puso en riesgo a millones de repositorios públicos y privados.
Las principales plataformas se comprometen a una vigilancia continua
GitHub ha prometido mantener el más alto nivel de vigilancia sobre su infraestructura, prometiendo actualizaciones regulares al público hasta que se complete la investigación.
