GitHub confirma la intrusión de 3,800 repositorios mediante una extensión maliciosa de VSCode

 (bleepingcomputer.com)
1 puntos por GN⁺ 2 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Aproximadamente 3,800 repositorios internos de GitHub fueron comprometidos después de que un empleado instalara una extensión maliciosa de VS Code, y la evaluación actual limita el alcance de la filtración a repositorios internos
  • GitHub retiró la extensión troyanizada de VS Code Marketplace y aisló los endpoints infectados, además de iniciar una respuesta inmediata al incidente
  • TeamPCP afirma haber accedido al código fuente de GitHub y a cerca de 4,000 repositorios de código privado, y exige al menos 50,000 dólares por los datos robados
  • Las extensiones de VS Code son plugins que se instalan desde la tienda oficial, pero ya antes se habían detectado extensiones con robo de credenciales, mineros, funciones de ransomware y robo de criptomonedas
  • GitHub dijo que no hay evidencia de una filtración de datos de clientes fuera de los repositorios afectados, y la plataforma es utilizada por más de 180 millones de desarrolladores

Confirmación de la intrusión en GitHub y respuesta

  • GitHub confirmó que unos 3,800 repositorios internos fueron comprometidos después de que un empleado instalara una extensión maliciosa de VS Code
  • La extensión troyanizada, cuyo nombre no fue revelado, fue retirada de VS Code Marketplace, y el dispositivo comprometido fue protegido
  • En una publicación en X, GitHub dijo que “detectó y bloqueó la intrusión en un dispositivo de un empleado relacionada con una extensión contaminada de VS Code”, y señaló que eliminó la versión maliciosa de la extensión, aisló el endpoint e inició de inmediato la respuesta al incidente
  • La evaluación actual limita el alcance de la actividad a la filtración de repositorios internos de GitHub, y la cifra de unos 3,800 repositorios afirmada por los atacantes coincide en gran medida con los resultados de la investigación
  • El día anterior, GitHub dijo a BleepingComputer que estaba investigando las acusaciones de acceso no autorizado a repositorios internos, y añadió que no hay evidencia de que se hayan comprometido datos de clientes almacenados fuera de los repositorios afectados

Afirmaciones de TeamPCP y riesgos de las extensiones de VS Code

  • El grupo de hackers TeamPCP afirmó en el foro de cibercrimen Breached que accedió al código fuente de GitHub y a “unos 4,000 repositorios de código privado”, y exige al menos 50,000 dólares por los datos robados
  • TeamPCP dijo que “no es un rescate y no está interesado en extorsionar a GitHub”, y afirmó que eliminará los datos que posee después de venderlos a un solo comprador
  • TeamPCP ha sido vinculado antes con ataques masivos a la cadena de suministro dirigidos a plataformas de código para desarrolladores, entre ellas GitHub, PyPI, NPM, y Docker
  • TeamPCP también ha sido relacionado con la campaña de cadena de suministro “Mini Shai-Hulud”, que recientemente también afectó a dos empleados de OpenAI
  • Las extensiones de VS Code son plugins que se instalan desde la tienda oficial VS Code Marketplace para agregar funciones o integrar herramientas en el editor de código de Microsoft
  • En VS Code Marketplace ya se han detectado repetidamente extensiones maliciosas que roban credenciales de desarrolladores y datos sensibles
  • El año pasado, extensiones de VSCode con 9 millones de instalaciones fueron retiradas por riesgos de seguridad, y 10 extensiones disfrazadas de herramientas legítimas para desarrolladores infectaron a usuarios con el minero de criptomonedas XMRig
  • Después apareció en VS Code Marketplace una extensión maliciosa con funciones básicas de ransomware, y un actor de amenazas llamado WhiteCobra publicó 24 extensiones para robar criptomonedas
  • En enero de este año, dos extensiones maliciosas promocionadas como asistentes de programación con IA, con 1.5 millones de instalaciones, filtraron datos desde sistemas de desarrolladores infectados hacia servidores en China
  • Actualmente, la plataforma en la nube de GitHub es utilizada por más de 4 millones de organizaciones, el 90% de las Fortune 100 y más de 180 millones de desarrolladores, que contribuyen a más de 420 millones de repositorios de código

Lecturas relacionadas

1 comentarios

 
GN⁺ 2 시간 전
Comentarios de Hacker News

  • Ojalá la empresa que hizo VSCode, la empresa que tiene NPM y la empresa que tiene GitHub pudieran reunirse en un mismo lugar para encontrar una solución a este problema

    • Muestra perfectamente por qué la caricatura del organigrama de Microsoft es acertada

      https://bonkersworld.net/organizational-charts

    • Desde luego no fue por falta de advertencias sobre un riesgo tan obvio

      https://github.com/microsoft/vscode/issues/52116

    • Microsoft también es la empresa que tiene NuGet

      Si ves lo que hicieron hace 1 año, eliminaron de forma preventiva unas 700 paquetes de NuGet y al final resultaron ser falsos positivos
      No es fácil hacer lo correcto

    • No es broma, estos ecosistemas básicamente están diseñados desde el inicio como un basurero fácil de comprometer
      Si tienes un ecosistema totalmente abierto donde las contribuciones no se revisan con rigor, todos quedan expuestos a este tipo de problemas
      Si no te gusta, no uses extensiones del editor y usa un editor auditado de verdad

      Usar extensiones, paquetes de node o paquetes de PyPI sin revisarlos bien es acumular deuda técnica
      Estás asumiendo riesgos para lanzar rápido, y luego tendrás que pagarlos de forma controlada o soportar el costo cuando te cobren intereses

  • Las extensiones de VS Code siempre me han dado miedo y desde hace mucho eran un vector de ataque demasiado obvio
    VSCode me sigue mostrando popups para instalar extensiones porque detectó cierto formato de archivo, y la mitad de las veces la extensión parece ser de una empresa y la otra mitad de algún desarrollador cualquiera
    Incluso entre extensiones con millones de instalaciones hay algunas que a primera vista parecen extensiones oficiales de una empresa
    Ahora intento instalar solo extensiones oficiales de empresas, pero da amargura que ni siquiera así se puede estar seguro de no caer en un engaño

    • Este problema va mucho más allá de VS Code
      Todas las extensiones y todo código ejecutable tienen el mismo problema
      Incluso hubo un caso en Disney donde hackearon a un empleado por instalar un mod malicioso de BeamNG

      Cualquier empresa que quiera mantener la seguridad debería imponer restricciones estrictas a la instalación de software
      Por ejemplo, permitir solo paquetes npm y plugins de repositorios preaprobados internamente

    • He seguido usando Sublime aunque a veces se burlen de mí los adictos a VSCode
      Disfruto ver cómo la pasan mal quienes creían sin ningún sentido crítico que “VSCode es perfecto”

    • Yo también me he vuelto igual de paranoico con las extensiones de VSCode
      Recuerdo cuando antes bastaba con usar unas cuantas extensiones confiables para desarrollar en IDEs como Brackets, JetBrains, Sublime Text o Bluefish
      Ahora parece que para cualquier cosa que hagas, alguien o alguna empresa ya hizo una extensión dedicada solo a esa tarea

      Ahora intento hacer la mayor cantidad posible con el mínimo de extensiones
      Y de paso también quiero sacar el resto de mi código de GitHub

    • Si hablamos de un proveedor al que se le ocurrió tomar capturas de pantalla del escritorio cada pocos segundos, pasarles OCR y guardar el resultado en texto plano sin cifrar en disco, este nivel de seguridad de software era totalmente predecible

    • Además, todas esas extensiones quieren actualizarse automáticamente

  • Lo que más sorprende es que los hackers hayan encontrado una ventana de disponibilidad lo bastante larga para hacer esto

    • Para quienes no entendieron la broma: desde que Microsoft compró GitHub, a GitHub le ha costado cada vez más operar de forma estable por sí mismo

      Últimamente ha empeorado con más caídas y hasta ha sido noticia

  • Hilo relacionado anterior:

    GitHub is investigating unauthorized access to their internal repositories - https://news.ycombinator.com/item?id=48201316 - mayo de 2026, 321 comentarios

  • Me pregunto si la extensión nx console que me afectó ayer fue la comprometida
    El momento parece casi exacto
    Ver https://github.com/nrwl/nx-console/security/advisories/GHSA-...

  • Ojalá que esto haga que Microsoft agregue un sistema de permisos explícito a las extensiones de VS Code y mejore también la seguridad de los contenedores de desarrollo

    • Más bien espero que esto sirva para que los usuarios, en este caso desarrolladores y mantenedores, reduzcan su dependencia de Microsoft y sobre todo dejen de subcontratarle la seguridad a Microsoft

      Ya es hora de dejar vscode

    • No tengo muchas esperanzas
      Este issue está abierto desde 2018: https://github.com/microsoft/vscode/issues/52116

  • VS Code está hecho sobre Electron, y Electron tenía o tiene un ayudante de sandbox SUID, así que el aislamiento en sandbox es complicado
    Porque no puedes ejecutar fácilmente binarios SUID dentro del sandbox
    Hacer sandboxing en Linux es una tarea extremadamente difícil

    • Ver un mensaje del tipo “Chrome necesita SUID Root para que el sandbox funcione” se siente realmente mal
      Darle SUID Root a un navegador web antes era una broma para asustar a usuarios ignorantes y el peor error de seguridad imaginable
    • Entonces no deberían construir un IDE sobre Electron
    • podman parece manejar bastante bien los namespaces sin root
      Hay un poco de sobrecarga de rendimiento, pero tampoco es el fin del mundo

  • Puede que me esté perdiendo algo muy obvio, pero eso de 3,800 repositorios sí impresiona
    No imaginaba que fueran tantos

    • Como ya dijeron otros, eso es solo una parte
      Estoy en una empresa tecnológica de tamaño medio y tenemos más de 7,500 repositorios en una sola organización de GitHub
      Como son dos organizaciones, en conjunto se pasa fácilmente de los 10,000
      Claro, la mayoría son cosas viejas, abandonadas, sandboxes o herramientas personales
      Si fuera GitHub, no me sorprendería que sus repositorios internos fueran más de 100,000 o incluso más

    • Antes trabajé en una empresa que tenía al menos 5,000 repositorios repartidos entre cinco o seis organizaciones de GitHub, y todavía más código en Perforce

      Seguro había experimentos viejos, pero la empresa metía mano en muchas áreas y a algunos departamentos no les importaba crear otro servicio para resolver un solo problema

      Las cosas viejas de mi departamento sí las archivamos
      Teníamos 8 repositorios y sentíamos que eso ya era más que suficiente para tres personas

    • Uber en algún momento tuvo 8,000 repositorios para 2,000 ingenieros - https://highscalability.com/lessons-learned-from-scaling-ube...

    • Una vez trabajé en una cadena de alimentos
      El primer día pensé que, visto desde fuera, parecía un sitio web simple, así que no debía ser tan complicado
      Pero el sitio web de pedidos era el resultado de más de 300 repositorios combinados
      Era menos de lo que GitHub perdió en esta intrusión
      Mantener la simplicidad a gran escala requiere muchísimo esfuerzo

    • Una de las cosas que siempre me gustaron de trabajar en GitHub es que gran parte de la empresa realmente opera sobre GitHub
      Incluso equipos no técnicos muchas veces tienen sus propios repositorios para organizar documentación, SOPs, diseños y demás, como una empresa tradicional de trabajo del conocimiento usaría SharePoint

  • También hay varias formas de hacerlo como código abierto

    • Si quisieras filtrar información interna o hacer whistleblowing, este podría ser un método bastante bueno
      En vez de ejecutar descaradamente un script con tu propia cuenta de usuario, puedes hacer una subida anónima mediante un plugin que haga scraping y además alguna función inútil
      Por ejemplo, una función que te diga si cierto número de punto flotante es par
      Claro, ese tipo de número no existe
      Luego ejecutas eso y te haces pasar por víctima

  • “Ayer detectamos y bloqueamos una intrusión en dispositivos de empleados relacionada con una extensión contaminada de VS Code. Eliminamos la versión maliciosa de la extensión, aislamos los endpoints e iniciamos de inmediato la respuesta al incidente”

    Qué maravilla eso de que eliminaron la extensión
    ¿Solo hacen eso después de que sus propios empleados ya fueron infectados?
    ¿Y por qué no dicen el nombre de la extensión?”