GitHub ha confirmado que aproximadamente 3.800 repositorios internos fueron accedidos en una brecha de seguridad vinculada a una extensión maliciosa de Visual Studio Code instalada en el dispositivo de un empleado.
La plataforma de desarrollo propiedad de Microsoft afirmó haber detectado y contenido el incidente tras identificar un endpoint comprometido vinculado a una extensión VS Code envenenada. GitHub eliminó la extensión maliciosa del mercado, aisló el dispositivo afectado y lanzó una investigación interna de respuesta a incidentes.
Según la evaluación actual de la empresa, el ataque implicó solo acceso no autorizado a los repositorios internos de GitHub. GitHub afirmó que no hay pruebas de que los repositorios de clientes, entornos empresariales o proyectos públicos se vieran afectados por la brecha.
El incidente se hizo público después de que actores malintencionados afirmaran en línea que habían robado el código fuente de GitHub y datos internos sensibles. Los atacantes supuestamente alegaron haber obtenido acceso a casi 4.000 depósitos e intentar vender la información robada en foros clandestinos. GitHub afirmó que las afirmaciones de los atacantes sobre el volumen del repositorio eran “direccionalmente consistentes” con la investigación de la empresa hasta ahora.
La brecha ha generado nuevas preocupaciones sobre ataques a la cadena de suministro de software dirigidos a herramientas y extensiones para desarrolladores. Las extensiones de Visual Studio Code se han convertido cada vez más en un objetivo para grupos cibercriminales porque pueden proporcionar acceso directo a entornos de desarrollo, tokens de autenticación, repositorios internos e infraestructura CI/CD.
Los investigadores de seguridad han advertido durante años que las extensiones maliciosas o trojanizadas pueden abusar de la confianza de los desarrolladores para ejecutar código arbitrario dentro de entornos de desarrollo. En los últimos meses, múltiples campañas que involucran extensiones falsas o comprometidas de VS Code se han vinculado a robo de credenciales, entrega de malware y operaciones de compromiso de repositorios.
GitHub no ha hecho pública el nombre de la extensión maliciosa implicada en el incidente. La empresa tampoco ha confirmado si durante la brecha se expusieron códigos fuente propietarios, credenciales o activos sensibles a la seguridad.