GitHub ha confirmado un ataque a su cadena de suministro, como resultado del cual se han comprometido aproximadamente 3.800 repositorios internos de la compañía. El vector de intrusión fue una extensión maliciosa para Visual Studio Code, instalada en la estación de trabajo de uno de los empleados. Según el comunicado oficial de la compañía, por el momento no se han detectado indicios de compromiso de datos de usuarios fuera de los repositorios afectados; sin embargo, el incidente plantea serias dudas sobre la seguridad del ecosistema de extensiones para editores de código, que utilizan a diario millones de desarrolladores en todo el mundo.

Cronología y mecanismo del ataque

El ataque comenzó con la instalación de una extensión maliciosa desde el marketplace de VS Code en el dispositivo de un desarrollador de GitHub. La empresa no ha revelado el nombre de la extensión, aunque se sabe que ya ha sido eliminada del marketplace. El dispositivo comprometido fue aislado como parte de la respuesta al incidente.

El aspecto técnico clave de este ataque es el nivel de privilegios de que disponen las extensiones de VS Code. Tal y como señalan los investigadores de la empresa Aikido, las extensiones obtienen prácticamente acceso completo a los datos de la máquina del desarrollador, incluyendo:

• Claves SSH y tokens de acceso a servicios en la nube
• Credenciales para sistemas de control de versiones
• Variables de entorno y archivos de configuración
• Otros secretos almacenados localmente

Precisamente este acceso tan amplio permitió a los atacantes, a través de una única estación de trabajo comprometida, llegar a aproximadamente 3.800 repositorios internos de GitHub. La empresa ha confirmado que esta cifra «en general se corresponde» con los resultados de la investigación interna.

Acciones de los atacantes y declaraciones sobre la venta de datos

Según BleepingComputer, en el foro Breached han aparecido declaraciones sobre el robo de código fuente de GitHub y de alrededor de 4.000 repositorios privados. Presuntamente, los atacantes pusieron los datos a la venta con un precio mínimo de 50.000 dólares en criptomoneda, amenazando con publicar gratuitamente el volcado si no encontraban comprador. Debe subrayarse que estas afirmaciones proceden directamente de los presuntos atacantes y no han recibido confirmación independiente.

Contexto de la amenaza

Las estaciones de trabajo de los desarrolladores, según la evaluación de los investigadores de Aikido, se han convertido en uno de los objetivos prioritarios para ataques a la cadena de suministro. Esto es comprensible: en estas máquinas se concentran las claves de acceso a la infraestructura, los repositorios, los entornos en la nube y los sistemas de despliegue. La compromisión de un solo desarrollador con privilegios suficientes puede abrir el acceso a una parte significativa de la infraestructura interna de una organización, que es precisamente lo que ha ocurrido en este caso.

Presuntamente, ataques que emplean el gusano Shai-Hulud, vinculado al mismo grupo, afectaron anteriormente a empleados de OpenAI, aunque esta información se basa en datos de un blog de investigación y requiere confirmación adicional.

Medidas de respuesta de GitHub

GitHub ha informado de las siguientes acciones para contener el incidente:

1. Eliminación de la extensión maliciosa del marketplace de VS Code
2. Aislamiento del dispositivo del desarrollador comprometido
3. Rotación de secretos y credenciales críticos, empezando por los de mayor prioridad
4. Realización de una investigación interna para determinar el alcance completo de la compromisión

La empresa afirma que el acceso de los atacantes se limitó a los repositorios internos y no afectó a los datos de usuarios almacenados fuera de ellos. No obstante, esta valoración refleja el estado actual de la investigación y podría cambiar si se descubren nuevas evidencias.

Recomendaciones para las organizaciones

Este incidente demuestra un vector de ataque concreto y reproducible frente al cual es necesario protegerse:

• Auditoría de extensiones de VS Code: realice un inventario de las extensiones instaladas en las estaciones de trabajo de los desarrolladores. Implemente una política de listas blancas de extensiones permitidas mediante la configuración de la organización
• Limitación de privilegios: minimice el conjunto de secretos accesibles desde las estaciones de trabajo. Utilice tokens de corta duración en lugar de claves de acceso de larga vida
• Rotación de secretos: si sus proyectos dependen de paquetes internos o repositorios de GitHub, lleve a cabo una rotación preventiva de tokens de acceso y claves SSH
• Segmentación de acceso: asegúrese de que la compromisión de una sola estación de trabajo no proporcione acceso a miles de repositorios. Aplique el principio de mínimos privilegios a las cuentas de los desarrolladores
• Monitorización: configure alertas sobre patrones de acceso atípicos a los repositorios —clonado masivo, acceso desde ubicaciones inusuales, uso de tokens previamente inactivos—

El incidente de GitHub es una demostración práctica de que el ecosistema de extensiones para editores de código constituye un vector de ataque pleno para la cadena de suministro. Las organizaciones que utilizan VS Code en entornos corporativos deberían auditar de inmediato las extensiones instaladas, implantar una política de instalación controlada de las mismas y revisar el volumen de secretos accesibles desde las estaciones de trabajo de los desarrolladores, ya que fue precisamente el acceso excesivo desde un único dispositivo lo que convirtió una compromisión aislada en un incidente de la magnitud de 3.800 repositorios.