GitHub confirma la filtración de 3.800 repositorios por un acceso no autorizado mediante una extensión maliciosa VS Code

GitHub ha confirmado que un acceso no autorizado a sus repositorios internos se ha saldado con la filtración de alrededor de 3.800 repositorios, mediante una extensión maliciosa VS Code identificada en un dispositivo de un empleado.

La plataforma ha compartido que dichos repositorios filtrados son exclusivamente internos, además, ya han eliminado la versión maliciosa de la extensión y han aislado el punto final para responder al incidente.

Concretamente, la plataforma detectó el acceso no autorizado el martes 19 de mayo y, tras investigarlo, identificaron una violación en un dispositivo de un empleado que había instalado una extensión maliciosa de VS Code, aunque determinaron que no había indicios de que el incidente hubiese afectado a la información de los clientes almacenada fuera de los repositorios internos de GitHub.

Las extensiones VS Code son complementos o 'plugins' que se instalan en el editor para añadir nuevas funciones, automatizar tareas o personalizar la experiencia de visualización. Sin embargo, algunas de las extensiones que se ofrecen en VS Code Marketplace, también propiedad de Microsoft, pueden estar modificadas para permitir acciones maliciosas como el robo de datos.

En este caso, la extensión maliciosa instalada en el ordenador del empleado, permitió que un ciberdelincuente accediese a los repositorios internos de GitHub. Como resultado, la compañía ha indicado que la actividad involucró la filtración de alrededor de 3.800 repositorios exclusivamente internos, como ha explicado en una publicación en la red social X.

GitHub no ha atribuido la filtración a ningún grupo de ciberdelincuentes en concreto, sin embargo, como ha compartido Bleeping Computer, el grupo de 'hackers' TeamPCP se pronunció el mismo martes asegurando haber accedido al código fuente de la plataforma, alegando haber conseguido "alrededor de 4.000 repositorios de código privado", según compartió en el foro Breached.

En el anuncio, el grupo exigió un pago de 50.000 dólares (alrededor de 43.026 euros al cambio) por los datos robados. No obstante, no se trata de un rescate. "No nos interesa extorsionar a GitHub. Si encontramos un comprador, destruiremos los datos por nuestra cuenta. Parece que nos jubilaremos pronto, así que si no encontramos comprador, los filtraremos gratis", han manifestado los ciberdelincuentes.

Con todo ello, desde GitHub han asegurado que se están moviendo "rápidamente" para reducir el riesgo y que han "rotado" los secretos críticos priorizando primero las credenciales de mayor impacto. Igualmente, seguirán analizando los registros y monitorizando cualquier actividad de seguimiento. "Tomaremos acciones adicionales según lo que justifique la investigación", ha sentenciado la compañía.