GitHub violado con una extensión tóxica VS Code, 3.800 repositorios robados
TL; DR
GitHub ha confirmado que el grupo de delitos cibernéticos TeamPCP ha exhumado casi 3.800 repositorios de códigos internos después de que el dispositivo de un empleado se viera comprometido con una extensión maliciosa de VS Code. La plataforma propiedad de Microsoft dijo que ningún dato de los clientes se vio afectado, pero la violación resalta la creciente amenaza de ataques a la cadena de suministro dirigidos a herramientas de desarrollo.
Es una ironía incómoda que la plataforma de alojamiento de códigos más grande del mundo sea víctima de su propio ecosistema. GitHub confirmó el martes que un actor de amenazas había eliminado casi 3.800 repositorios internos después de comprometer el dispositivo de un empleado con una extensión de código malicioso de Visual Studio, lo que marca una de las infracciones más importantes reveladas por la empresa propiedad de Microsoft.
Publicación de Github X
El grupo de cibercrimen TimPCP, rastreado como UNC6780, se atribuyó el mérito del ataque en el foro de piratería Breached, donde ofreció los datos robados, que describió como código fuente propietario y archivos internos de la organización, por al menos 50.000 dólares. El grupo dijo que filtraría el material si ningún comprador era objetivo.
💜 de tecnología de la UE
Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. Regístrate ahora!
La investigación de GitHub reveló que la infracción comenzó cuando un empleado descargó una extensión maliciosa del mercado oficial de VS Code. Esa única instalación fue suficiente para darle a un atacante acceso al dispositivo de un empleado y desde allí a miles de repositorios privados de la empresa. GitHub dijo que la afirmación del atacante sobre unos 3.800 repositorios era "direccionalmente consistente" con sus propios hallazgos.
La empresa actuó rápidamente después de detectar la intrusión, aisló el dispositivo comprometido, eliminó la extensión y rotó las credenciales críticas en cuestión de horas. GitHub enfatizó que la actividad solo implicó la exfiltración de repositorios internos y que no encontró evidencia de impacto en los datos de los clientes, las cuentas empresariales o los repositorios alojados por los usuarios.
Aún así, el incidente es un claro recordatorio de cómo los ataques a la cadena de suministro dirigidos a herramientas de desarrollo pueden llegar profundamente incluso a las organizaciones más preocupadas por la seguridad. TeamPCP ha construido una sólida trayectoria en este espacio. El grupo estuvo detrás del compromiso del escáner de vulnerabilidad Trivi de Aqua Security a principios de este año, un ataque que finalmente condujo a la eliminación de 92 GB de datos de la infraestructura AWS de la Comisión Europea. También apunta a paquetes asociados con KICS de Checkmark, LiteLLM AI Gateway Library, Telnyx SDK, TanStack y MistralAI.
VS Code se ha convertido en un vector creciente de ataques a la cadena de suministro del mercado. A diferencia de los registros de paquetes tradicionales como NPM o PPI, las extensiones de navegador y editor suelen tener amplios permisos de sistema de forma predeterminada, lo que las hace particularmente atractivas para los atacantes para el acceso lateral. GitHub no nombró la extensión específica involucrada en su infracción y no está claro si la extensión era una lista maliciosa recientemente publicada o una versión comprometida de una herramienta legítima.
El tiempo añade más presión. La violación de GitHub se produce en medio de un aumento mayor de los compromisos en la cadena de suministro de software que han afectado a empresas de diversos sectores. La pandilla ShinyHunters, que ha colaborado con TeamPCP en el pasado, recientemente robó datos de la Comisión Europea. OpenAI fue atacado a través de un paquete TanStack comprometido. Y a principios de este mes, los investigadores documentaron cientos de paquetes NPM maliciosos de una campaña llamada Mini Shai-Hulud que estaban vinculados al mismo grupo de amenazas.
Para GitHub, que alberga a más de 100 millones de desarrolladores y sirve como infraestructura crítica para la industria global del software, la violación plantea preguntas incómodas sobre cómo proteger la confianza de los desarrolladores de herramientas. Si una plataforma basada en la revisión de código y el control de versiones puede ser infiltrada por una extensión maliciosa, las implicaciones para las organizaciones menos maduras en materia de seguridad son asombrosas.
GitHub dice que su investigación está en curso. Ha contratado apoyo forense externo y está trabajando para determinar el alcance total de los datos a los que se accedió. La empresa X publicó el incidente y reiteró que los datos de los clientes no se vieron afectados.
Mientras tanto, TimPCP no muestra signos de desaceleración. Desde las instituciones de la UE hasta la infraestructura de inteligencia artificial y la columna vertebral del desarrollo de código abierto, el grupo ha demostrado un manual consistente: las organizaciones envenenan las herramientas en las que confían y el alcance se vuelve irrelevante.
