-
El hacker reclama unos 3.800 repositorios, segรบn el equipo de GitHub.
-
Dark Web Informer: el atacante ofrece el material por mรกs de USD 50.000 y amenaza con filtrarlo.
GitHub confirmรณ haber contenido una brecha de seguridad en sus repositorios internos este 19 de mayo. La compaรฑรญa rastreรณ el origen del incidente hasta una extensiรณn maliciosa de VS Code instalada en el equipo de un empleado.
ยซNuestra evaluaciรณn actual es que la actividad involucrรณ solo la exfiltraciรณn de repositorios internos de GitHubยป, precisรณ la empresa en un hilo publicado este 20 de mayo. El hacker dice haber sustraรญdo aproximadamente 3.800 repositorios.
La empresa afirmรณ no tener evidencia de impacto en datos de clientes almacenados fuera de sus repositorios internos (incluyendo compaรฑรญas, organizaciones y repositorios de clientes), aunque aclarรณ que la investigaciรณn continรบa.
La extensiรณn maliciosa correspondรญa a VS Code, un popular editor de cรณdigo desarrollado por Microsoft. Las extensiones son complementos que los programadores instalan para ampliar sus funcionalidades y operan con los mismos permisos que el desarrollador tiene sobre los sistemas a los que accede, lo que las convierte en un vector de ataque de alto impacto: una versiรณn comprometida puede interceptar credenciales, tokens de autenticaciรณn o cรณdigo fuente sin que el usuario lo detecte.
GitHub iniciรณ ademรกs la rotaciรณn de credenciales crรญticas durante el 19 y 20 de mayo. La rotaciรณn de credenciales es el proceso por el cual una organizaciรณn invalida y reemplaza las claves, tokens y contraseรฑas que dan acceso a sus sistemas, con el objetivo de cortar el acceso de un atacante que pudiera haberlas obtenido.
No obstante, en el comunicado indicaron que ยซcontinuamos analizando registros, validando la rotaciรณn de credenciales y monitoreando cualquier actividad posteriorยป. Desde GitHub prometieron publicar un informe mรกs completo una vez concluida la investigaciรณn, sin establecer un plazo.
En GitHub se alojan los repositorios pรบblicos de Bitcoin, asรญ como los de Ethereum, Solana y la mayorรญa de los protocolos de criptoactivos. Si la evaluaciรณn de GitHub es correcta y la exfiltraciรณn se limitรณ a repositorios internos de la empresa, el cรณdigo fuente de esos proyectos no habrรญa sido afectado.
El atacante y las cifras de la brecha en GitHub
El atacante fue identificado como ‘TeamPCP’ y publicรณ una oferta de venta del material por mรกs de USD 50.000 en foros clandestinos, de acuerdo con lo notificado por la firma de anรกlisis Dark Web Informer.
El hacker, segรบn Dark Web Informer, declarรณ que no se trata de un ataque de rescate y que filtrarรญa el material pรบblicamente si no encontrara comprador.
La firma VECERT Analyzer seรฑalรณ que los nombres de los archivos del listado publicado por el atacante coinciden estrechamente con la arquitectura interna real de GitHub, incluyendo paquetes como github-copilot.tar.gz, red-team.tar.gz y github-security-risk-reporting.tar.gz. La firma aclarรณ que su anรกlisis se basรณ en capturas de pantalla, sin verificaciรณn independiente del contenido de los archivos.
Aunque no se confirmรณ el uso de inteligencia artificial (IA) por parte del atacante, el incidente se enmarca en una tendencia creciente de hackeos mediante IA. Como lo reportรณ CriptoNoticias, Charles Guillemet, director de tecnologรญa de la firma de seguridad Ledger, opinรณ que ยซla barrera de entrada para los atacantes se estรก derrumbando. Pedirle a un modelo de lenguaje que analice las diferencias de seguridad entre dos versiones de un binario y genere un exploit es mรกs rรกpido, mรกs barato y mucho mรกs eficiente que antesยป.
Asรญ, el ataque a GitHub que parte de una extensiรณn de un editor de cรณdigo (herramienta cotidiana en cualquier flujo de trabajo de desarrollo) ilustra cรณmo esa reducciรณn de barreras expande la superficie de riesgo hacia los entornos mรกs integrados al trabajo diario de los equipos tรฉcnicos.
