Una reciente brecha de seguridad que involucra acceso no autorizado a los repositorios internos de GitHub ha generado una preocupación significativa en la comunidad de desarrollo de software. Según un comunicado publicado por la plataforma el 20 de mayo, el ataque se originó a partir de una extensión maliciosa de Visual Studio Code instalada en la computadora de un empleado.
Cronología y hallazgos iniciales
Después de detectar el acceso no autorizado el 19 de mayo, GitHub actuó rápidamente para eliminar la extensión comprometida de sus sistemas y desactivó los puntos de acceso relacionados. La empresa afirmó que, en este momento, no hay evidencia directa que indique que los repositorios de usuarios, cuentas organizacionales o datos de clientes hayan sido afectados por el incidente.
GitHub continúa evaluando el alcance de la brecha y está trabajando para contener sus efectos. En una actualización oficial, la compañía confirmó que el ataque se limitó únicamente a los repositorios internos, con el atacante accediendo exitosamente a aproximadamente 3,800 de ellos.
GitHub ha rotado urgentemente sus credenciales y claves de acceso más sensibles y implementará medidas de seguridad adicionales a medida que la situación se aclare. Los hallazgos actuales sugieren que solo se dirigieron a sistemas no usuario y las investigaciones aún están en curso.
A medida que la investigación avanza, GitHub ha estado analizando los registros del sistema y revisando la efectividad de los reinicios de credenciales. La compañía se ha comprometido a compartir un informe completo una vez que concluya su investigación.
Orígenes y alcance de la amenaza
El ciberataque se ha vinculado al conocido grupo de amenazas UNC6780. Según la información del Grupo de Inteligencia de Amenazas de Google, los culpables que operan bajo el alias “TeamPCP” son conocidos por llevar a cabo ataques a la cadena de suministro motivados financieramente, centrándose en infiltrarse en las líneas de desarrollo de software.
TeamPCP afirma haber obtenido código fuente e información interna de casi 4,000 repositorios privados de GitHub pertenecientes a la infraestructura central de la empresa. Informes sugieren que estos materiales robados se están ofreciendo a la venta a precios que superan los $50,000, con muestras que potencialmente se comparten como prueba.
La unidad de Inteligencia de Amenazas de Google enfatiza que TeamPCP se especializa en comprometer procedimientos de autenticación automatizados, cadenas de entrega de software y herramientas para desarrolladores para obtener acceso no autorizado.
A principios de 2026, el grupo explotó una vulnerabilidad en el Trivy Vulnerability Scanner (CVE-2026-33634) en ataques que afectaron a grandes corporaciones, incluyendo a Cisco. También se les ha relacionado con campañas de phishing de credenciales dirigidas a empresas de software de seguridad como LiteLLM y Checkmarx.
Glosario: UNC6780 es un grupo de amenazas identificado en la investigación de ciberseguridad como responsable de ataques motivados financieramente. Sus operaciones típicamente apuntan a cadenas de suministro, herramientas para desarrolladores y sistemas de automatización para acceder a datos sensibles.
Riesgo creciente para las API de criptomonedas
El fundador de Binance, Changpeng Zhao, subrayó la urgencia para que tanto desarrolladores como equipos implementen medidas de seguridad inmediatas, destacando cómo esta brecha podría afectar al sector de las criptomonedas. La fuerte dependencia de las infraestructuras de API expone a las organizaciones a amenazas de reacción en cadena.
Almacenar claves de API, tokens de automatización y credenciales de CI/CD dentro de los repositorios de código principales hace que las empresas sean particularmente vulnerables, ya que una sola falla en la cadena de suministro puede poner en riesgo múltiples intercambios, soluciones de custodia y servicios de datos.
| Plataforma | Función Principal | Riesgo Potencial |
|---|---|---|
| CoinStats API | Gestión de portafolio | Fondos de usuarios en riesgo si se filtran las claves |
| CoinGecko API | Datos de precios y mercado | Flujos de precios falsos, manipulación de datos |
| Infura | Acceso a nodos de blockchain | Interrupciones de servicio, explotación de la red |
Recientemente, plataformas como CoinGecko API, CoinMarketCap API, Infura, Alchemy, Kaiko y Bitquery han ganado una importante cuota de mercado. Los expertos en seguridad aconsejan a los desarrolladores auditar regularmente los backends de API de estas herramientas, dado su papel central en el monitoreo de transacciones y la seguridad.
Las plataformas especializadas en seguridad de software enfatizan que el uso correcto de las APIs y el manejo de credenciales con prácticas actualizadas son cruciales para proyectos criptográficos sostenibles. Sin tales medidas, ataques similares podrían volverse más comunes.
