GitHub confirmó una intrusión que afectó miles de repositorios internos luego de que atacantes utilizaran una extensión maliciosa de Visual Studio Code. La compañía señaló que el incidente no comprometió repositorios de clientes ni sistemas de producción mientras investiga el alcance del incidente.
GitHub confirmó esta semana una brecha de seguridad que comprometió cerca de 3.800 repositorios internos de la compañía, incidente que actualmente es atribuido al grupo denominado TeamPCP. Según reportaron distintos medios especializados, el acceso se habría producido a través de una extensión maliciosa de Visual Studio Code utilizada dentro de la organización.
La empresa indicó este miércoles que detectó actividad sospechosa relacionada con algunos de sus repositorios internos y que inició una investigación para determinar el alcance del incidente. En una publicación difundida por GitHub en su cuenta de X, la compañía afirmó que “ayer —martes 19 de mayo—detectamos y contuvimos una intrusión en el dispositivo de un empleado mediante una extensión maliciosa de VS Code. Eliminamos la versión maliciosa de la extensión, aislamos el equipo y comenzamos la respuesta al incidente de inmediato”
De acuerdo con varios reportes, TeamPCP habría publicado en un foro clandestino muestras de datos supuestamente extraídos desde la plataforma ofreciendo la información a un precio de 50 mil dólares.
Lo medios señalaron que TeamPCP aseguró haber obtenido acceso a contenidos internos asociados con herramientas, documentación y código fuente perteneciente a GitHub. Sin embargo, GitHub reiteró públicamente que no existe evidencia de afectación a repositorios de usuarios ni a servicios operativos de la plataforma.
Según algunos medios, el incidente afectó exclusivamente repositorios internos utilizados por la compañía para operaciones y desarrollo interno. Los reportes indican que GitHub notificó a las partes relevantes y comenzó medidas de mitigación para reducir riesgos adicionales relacionados con la extensión comprometida.
Además de contener la actividad maliciosa, GitHub indicó que actualmente trabaja en la revisión de los repositorios afectados. En otra declaración pública, la empresa señaló que “seguimos analizando los registros, validando la rotación de secretos y supervisando cualquier actividad posterior. Tomaremos medidas adicionales según lo requiera la investigación”. La entidad también se comprometió a entregar un informe completo del incidente más adelante.