WHAT ARE YOU LOOKING FOR?
Popular Tags
GitHub confirma la filtración de 3.800 repositorios internos
Una extensión maliciosa de VS Code instalada en un ordenador de empleado permitió el acceso no autorizado a repositorios internos de la plataforma.
GitHub ha confirmado la filtración de alrededor de 3.800 repositorios internos tras detectar un acceso no autorizado vinculado a una extensión maliciosa de VS Code que fue instalada en el dispositivo de un empleado de la compañía.
El incidente fue localizado el martes 19 de mayo. La investigación posterior permitió identificar la brecha en el ordenador afectado. GitHub ha asegurado que no hay indicios de que información de clientes almacenada fuera de sus repositorios internos haya sido comprometida en el incidente.
Los repositorios expuestos pertenecen exclusivamente al ámbito interno de la plataforma. La compañía ha retirado la versión comprometida de la extensión e ha aislado el dispositivo implicado como parte de su respuesta inmediata al incidente de seguridad.
Las extensiones de VS Code funcionan como complementos o 'plugins' que los usuarios instalan en el editor de código para añadir funcionalidades, automatizar tareas o personalizar la experiencia de trabajo. Algunas de las disponibles en VS Code Marketplace, plataforma también propiedad de Microsoft, pueden haber sido alteradas para ejecutar acciones maliciosas como el robo de credenciales y datos sensibles.
En este caso, la extensión instalada en el equipo del empleado comprometido facilitó que un atacante accediese a los repositorios internos de GitHub. La compañía informó a través de X que la actividad maliciosa resultó en la exposición de aproximadamente 3.800 repositorios internos.
Aunque GitHub no ha atribuido el incidente a ningún grupo específico de ciberdelincuentes, Bleeping Computer reportó que el grupo de 'hackers' TeamPCP afirmó el mismo martes haber accedido al código fuente de la plataforma. En un anuncio publicado en el foro Breached, el grupo aseguró haber obtenido "alrededor de 4.000 repositorios de código privado".
Los ciberdelincuentes solicitaron 50.000 dólares, equivalentes a aproximadamente 43.026 euros, por los datos robados. No obstante, negaron que se tratase de un rescate tradicional, argumentando que "No nos interesa extorsionar a GitHub. Si encontramos un comprador, destruiremos los datos por nuestra cuenta. Parece que nos jubilaremos pronto, así que si no encontramos comprador, los filtraremos gratis".
GitHub ha comunicado que está trabajando "rápidamente" para reducir el riesgo derivado de la brecha y ha "rotado" los secretos críticos, priorizando las credenciales con mayor potencial de impacto. La plataforma continuará analizando registros de acceso y monitoreando cualquier actividad sospechosa posterior.
La compañía ha indicado que implementará medidas adicionales según lo que determine la investigación en curso. "Tomaremos acciones adicionales según lo que justifique la investigación", ha declarado GitHub en su comunicado oficial.
