En Resumen
- GitHub confirmó el robo de unos 3.800 repositorios internos tras la instalación involuntaria de una extensión maliciosa de VS Code por parte de un empleado.
- El grupo TeamPCP asumió responsabilidad y exige al menos $50.000 por los datos, advirtiendo que podrían filtrarse si no encuentran comprador.
- GitHub aseguró que datos de clientes externos no fueron comprometidos y que ya rotó credenciales críticas priorizando los secretos de mayor riesgo.
GitHub confirmó el martes que un grupo de hackers robó aproximadamente 3.800 repositorios de código interno después de que uno de sus empleados instalara sin saberlo una extensión maliciosa de Visual Studio Code.
Las extensiones de VS Code son plugins descargados a través del marketplace oficial de Microsoft que añaden funciones al editor de código. En este caso, la extensión fue diseñada para extraer datos en segundo plano.
"Ayer detectamos y contuvimos el compromiso de un dispositivo de un empleado mediante una extensión de VS Code contaminada", señaló la compañía en una publicación en X. "Eliminamos la versión maliciosa de la extensión, aislamos el endpoint y comenzamos la respuesta al incidente de inmediato".
GitHub, propiedad de Microsoft, es una de las plataformas de desarrollo de software más grandes del mundo, utilizada por más de 180 millones de desarrolladores en más de 4 millones de organizaciones, entre ellas el 90% de las empresas del Fortune 100.
"Nuestra evaluación actual es que la actividad involucró la exfiltración únicamente de repositorios internos de GitHub", escribió GitHub. "Las afirmaciones actuales del atacante de ~3.800 repositorios son directamente consistentes con nuestra investigación hasta el momento".
Según GitHub, la brecha afectó únicamente a repositorios internos, y ningún dato de clientes almacenado fuera de esos repositorios se vio comprometido.
"No tenemos evidencia de impacto en la información de clientes almacenada fuera de los repositorios internos de GitHub, como las empresas, organizaciones y repositorios propios de nuestros clientes", afirmó un portavoz de GitHub a Decrypt. "Algunos de los repositorios internos de GitHub contienen información de clientes, por ejemplo, fragmentos de interacciones de soporte. Si se descubre algún impacto, notificaremos a los clientes a través de los canales establecidos de respuesta y notificación de incidentes".
La compañía indicó que rotó las credenciales críticas durante la noche, priorizando primero los secretos de mayor riesgo, y continúa monitoreando cualquier actividad adicional.
Según la cuenta de ciberseguridad en X Dark Web Informer, TeamPCP asumió la responsabilidad de la brecha en Breached, un foro de cibercrimen de sombrero negro. El grupo supuestamente afirmó poseer alrededor de 4.000 repositorios privados y pedía al menos $50.000 por los datos, con muestras disponibles para compradores verificados.
"Esto sigue siendo una afirmación no verificada de un foro clandestino", escribió Dark Web Informer. "El actor afirma que no se trata de un intento de rescate y sostiene que los datos podrían filtrarse públicamente si no se encuentra un comprador".
TeamPCP ha sido vinculado anteriormente a ataques a la cadena de suministro dirigidos a GitHub, PyPI, NPM y Docker. Los investigadores también han relacionado al grupo con la campaña de malware Shai-Hulud en curso y una operación separada que supuestamente comprometió software vinculado a dos empleados de OpenAI y Mistral AI.