GitHub sufre brecha de seguridad por programa malicioso en equipo de un empleado

GitHub confirmó haber contenido una brecha de seguridad en sus repositorios internos este 19 de mayo. La compañía rastreó el origen del incidente hasta una extensión maliciosa de VS Code instalada en el equipo de un empleado.

«Nuestra evaluación actual es que la actividad involucró solo la exfiltración de repositorios internos de GitHub», precisó la empresa en un hilo publicado este 20 de mayo. El hacker dice haber sustraído aproximadamente 3.800 repositorios.

La empresa afirmó no tener evidencia de impacto en datos de clientes almacenados fuera de sus repositorios internos (incluyendo compañías, organizaciones y repositorios de clientes), aunque aclaró que la investigación continúa.

La extensión maliciosa correspondía a VS Code, un popular editor de código desarrollado por Microsoft. Las extensiones son complementos que los programadores instalan para ampliar sus funcionalidades y operan con los mismos permisos que el desarrollador tiene sobre los sistemas a los que accede, lo que las convierte en un vector de ataque de alto impacto: una versión comprometida puede interceptar credenciales, tokens de autenticación o código fuente sin que el usuario lo detecte.

GitHub inició además la rotación de credenciales críticas durante el 19 y 20 de mayo. La rotación de credenciales es el proceso por el cual una organización invalida y reemplaza las claves, tokens y contraseñas que dan acceso a sus sistemas, con el objetivo de cortar el acceso de un atacante que pudiera haberlas obtenido.

No obstante, en el comunicado indicaron que «continuamos analizando registros, validando la rotación de credenciales y monitoreando cualquier actividad posterior». Desde GitHub prometieron publicar un informe más completo una vez concluida la investigación, sin establecer un plazo.

En GitHub se alojan los repositorios públicos de Bitcoin, así como los de Ethereum, Solana y la mayoría de los protocolos de criptoactivos. Si la evaluación de GitHub es correcta y la exfiltración se limitó a repositorios internos de la empresa, el código fuente de esos proyectos no habría sido afectado.

El atacante y las cifras de la brecha en GitHub

El atacante fue identificado como ‘TeamPCP’ y publicó una oferta de venta del material por más de USD 50.000 en foros clandestinos, de acuerdo con lo notificado por la firma de análisis Dark Web Informer.

El hacker, según Dark Web Informer, declaró que no se trata de un ataque de rescate y que filtraría el material públicamente si no encontrara comprador.

La firma VECERT Analyzer señaló que los nombres de los archivos del listado publicado por el atacante coinciden estrechamente con la arquitectura interna real de GitHub, incluyendo paquetes como github-copilot.tar.gz, red-team.tar.gz y github-security-risk-reporting.tar.gz. La firma aclaró que su análisis se basó en capturas de pantalla, sin verificación independiente del contenido de los archivos.

Aunque no se confirmó el uso de inteligencia artificial (IA) por parte del atacante, el incidente se enmarca en una tendencia creciente de hackeos mediante IA. Como lo reportó KriptoNoticias, Charles Guillemet, director de tecnología de la firma de seguridad Ledger, opinó que «la barrera de entrada para los atacantes se está derrumbando. Pedirle a un modelo de lenguaje que analice las diferencias de seguridad entre dos versiones de un binario y genere un exploit es más rápido, más barato y mucho más eficiente que antes».

Así, el ataque a GitHub que parte de una extensión de un editor de código (herramienta cotidiana en cualquier flujo de trabajo de desarrollo) ilustra cómo esa reducción de barreras expande la superficie de riesgo hacia los entornos más integrados al trabajo diario de los equipos técnicos.