GitHub confirma brecha por extensión VS Code

GitHub ha confirmado haber contenido una brecha de seguridad en sus repositorios internos el pasado 19 de mayo. La compañía rastreó el origen del incidente hasta una extensión maliciosa del editor de código VS Code instalada en el equipo de un empleado.

Según el comunicado oficial, la actividad implicó únicamente la exfiltración de repositorios internos. El atacante, que se identifica como «TeamPCP», afirma haber sustraído aproximadamente 3.800 repositorios.

Evaluación del impacto y medidas de mitigación

GitHub afirmó no tener evidencia, por el momento, de impacto en datos de clientes almacenados fuera de sus repositorios internos (incluyendo compañías, organizaciones y repositorios de clientes). Esto es relevante dado que la plataforma aloja los repositorios públicos de Bitcoin, Ethereum, Solana y la mayoría de los protocolos de criptoactivos. Si la evaluación es correcta, el código fuente de estos proyectos no se habría visto comprometido.

Como medida de contención, GitHub inició la rotación de credenciales críticas durante el 19 y 20 de mayo. Este proceso invalida y reemplaza claves y tokens para cortar el acceso al atacante. La empresa continúa analizando registros y monitoreando la actividad posterior.

El peligro de las extensiones de VS Code

El vector de ataque resalta un riesgo significativo en el entorno de desarrollo actual. Las extensiones de VS Code son complementos que operan con los mismos permisos que el desarrollador.

Una versión comprometida de una extensión puede:

  • Interceptar credenciales y tokens de autenticación.
  • Robar código fuente.
  • Realizar acciones sin que el usuario lo detecte.

Venta de datos y tendencias de seguridad

El atacante publicó una oferta de venta del material robado por más de 50.000 dólares en foros de la dark web, según informó la firma Dark Web Informer. A diferencia de un ransomware, el objetivo es vender los datos directamente.

La firma VECERT Analyzer verificó que los nombres de los archivos del listado coinciden con la arquitectura interna real de GitHub (ejemplos: github-copilot.tar.gz, red-team.tar.gz), lo que sugiere que la fuga es auténtica.

Aunque no se confirmó el uso de inteligencia artificial en este ataque específico, expertos como Charles Guillemet (CTO de Ledger) advierten que la barrera de entrada para los atacantes se está reduciendo. El uso de herramientas cotidianas por parte de empleados, como editores de código con extensiones, expande la superficie de riesgo.

Comparte esta noticia, elige tu plataforma!

Leave A Comment