GitHub, propiedad de Microsoft, confirmó un acceso no autorizado a aproximadamente 3,800 de sus repositorios internos después de que un empleado instalara una extensión maliciosa en Visual Studio Code publicada en el VS Code Marketplace. La extensión comprometió la estación de trabajo del empleado y sirvió como vector inicial para la exfiltración de código fuente interno de la plataforma. GitHub aisló rápidamente el endpoint afectado, eliminó la versión maliciosa de la extensión del marketplace e inició la rotación priorizada de credenciales críticas. La compañía afirma no contar con evidencia de que información de clientes, repositorios públicos o repositorios alojados por clientes se hayan visto afectados.
Productos afectados
| Fabricante | Producto | Componente |
|---|---|---|
| Microsoft / GitHub | GitHub (infraestructura corporativa interna) | Aproximadamente 3,800 repositorios internos |
| Microsoft | Visual Studio Code | Extensión maliciosa publicada en VS Code Marketplace (nombre no divulgado por GitHub) |
Vector de Ataque
Un empleado de GitHub instaló una extensión troyanizada disponible en el VS Code Marketplace oficial. Una vez ejecutada en el endpoint del empleado, la extensión permitió al atacante acceder a credenciales y tokens con privilegios sobre el entorno corporativo interno de GitHub, lo que derivó en la clonación masiva de aproximadamente 3,800 repositorios privados. El nombre específico de la extensión no ha sido divulgado públicamente por GitHub al momento de emisión de este boletín.
Este incidente continúa la tendencia observada durante 2026 de ataques a la cadena de suministro dirigidos a herramientas e identidades de desarrolladores (IDE extensions, package managers, registries).
Acciones tomadas por GitHub
- Aislamiento inmediato del dispositivo del empleado comprometido.
- Eliminación de la versión maliciosa de la extensión del VS Code Marketplace.
- Rotación nocturna priorizada de secretos y credenciales críticas (las de mayor impacto primero).
- Análisis continuo de registros de actividad para detectar accesos derivados.
- Confirmación pública del alcance limitado: solo repositorios internos, sin evidencia de impacto en datos de clientes ni repositorios públicos.
Recomendaciones
Para entornos de desarrollo:
- Inventariar las extensiones de Visual Studio Code instaladas en las estaciones de trabajo de desarrolladores y personal técnico.
- Establecer una lista blanca corporativa de extensiones permitidas; bloquear instalaciones no aprobadas mediante políticas de grupo o herramientas de gestión de endpoints.
- Validar publisher verificado, reputación y permisos solicitados de cada extensión antes de su autorización.
- Mantener actualizadas las extensiones únicamente desde el marketplace oficial y revisar sus permisos periódicamente.
Para identidades y secretos en GitHub:
- Rotar Personal Access Tokens (PATs), llaves SSH, App tokens y secretos de Actions asociados a cuentas con acceso a repositorios sensibles si existe sospecha de exposición.
- Revisar los Audit Logs de la organización en GitHub Enterprise / GitHub Cloud buscando: creación de nuevos tokens, clones masivos de repositorios, accesos desde geografías o ASNs inusuales y configuraciones de webhooks recientes no autorizados.
- Habilitar y reforzar MFA obligatorio para todos los miembros de la organización.
- Activar Secret Scanning y Push Protection de GitHub Advanced Security en los repositorios.
Para monitoreo y detección:
- Desplegar/ajustar reglas en EDR para detectar comportamientos sospechosos originados desde procesos hijos de
Code.exe(VS Code), particularmente conexiones de red salientes inusuales, accesos a almacenes de credenciales y lectura de archivos.gitconfig,.npmrc,~/.aws/credentials, etc. - Monitorear tráfico DNS y HTTPS hacia infraestructura sospechosa desde estaciones de desarrollo.
- Correlacionar alertas de Splunk u otros SIEM con eventos de instalación de software en endpoints de desarrolladores.
Para usuarios finales:
- Concientizar al personal técnico sobre el riesgo de extensiones de IDE como vector de ataque a la cadena de suministro.
- Reportar comportamientos anómalos en sus IDE (consumos inusuales de CPU/red, prompts inesperados, errores nuevos) al equipo de seguridad.