GitHub ha confirmado una brecha de seguridad que ha derivado en la filtración de aproximadamente 3.800 repositorios internos de la plataforma. El acceso no autorizado se produjo a través de una extensión maliciosa instalada en Visual Studio Code en el dispositivo de uno de sus empleados.
La compañía detectó el incidente el martes 19 de mayo. Tras investigar el origen del acceso, identificaron que un trabajador había instalado una extensión de VS Code que había sido modificada para permitir acciones maliciosas, lo que facilitó que un tercero accediera a los repositorios internos de GitHub. La plataforma actuó con rapidez: eliminó la versión maliciosa de la extensión y aisló el dispositivo afectado para contener el daño.
Según ha explicado la propia compañía en una publicación en X, los repositorios filtrados son exclusivamente internos y no hay indicios de que el incidente haya comprometido información de clientes almacenada fuera de esos repositorios. Este matiz es relevante, ya que descarta, por el momento, un impacto directo sobre los usuarios de la plataforma.
Las extensiones de VS Code son complementos que los desarrolladores instalan en el editor para ampliar sus funciones, automatizar tareas o personalizar su entorno de trabajo. Sin embargo, algunas de las extensiones disponibles en VS Code Marketplace, también propiedad de Microsoft, pueden estar manipuladas para ejecutar acciones maliciosas como el robo de datos. Este caso es un ejemplo directo de ese riesgo.
GitHub no ha atribuido la filtración a ningún grupo en concreto, aunque el grupo de hackers TeamPCP se pronunció el mismo día del incidente afirmando haber accedido al código fuente de la plataforma. En un mensaje publicado en el foro Breached, el grupo aseguró haber obtenido cerca de 4.000 repositorios de código privado y exigió un pago de 50.000 dólares, aproximadamente 43.000 euros, por los datos robados.
No obstante, los propios ciberdelincuentes aclararon que no se trata de un rescate al uso. En sus palabras, no tienen intención de extorsionar a GitHub, pero si no encuentran un comprador para los datos, los filtrarán de forma gratuita.
Ante la situación, GitHub ha indicado que está actuando con rapidez para reducir el riesgo. Entre las medidas adoptadas, ha procedido a rotar sus credenciales críticas, priorizando aquellas de mayor impacto. La compañía también ha señalado que continuará analizando los registros y monitorizando cualquier actividad sospechosa derivada del incidente, y que tomará decisiones adicionales en función de lo que revele la investigación en curso.
