.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Los días 19 y 20 de mayo de 2026, GitHub confirmó un incidente de seguridad que afectó a sus propios sistemas internos. Un actor malicioso que se identifica como TeamPCP, también conocido como UNC6780, comprometió el dispositivo de desarrollo de un empleado mediante una extensión maliciosa de Visual Studio Code y utilizó ese punto de acceso para clonar aproximadamente 3800 repositorios internos de GitHub. Según se informa, el actor ha puesto los datos a la venta en un foro criminal por más de 50 000 dólares.
GitHub considera que los repositorios de los clientes, las cuentas empresariales y los datos de los usuarios no han sufrido ningún impacto. Según las pruebas actuales, la filtración se limita al entorno corporativo de GitHub. GitHub afirma que ha cambiado las credenciales, aislado los endpoints afectados y sigue investigando.
Sophos ha revisado su entorno interno y no ha encontrado pruebas de que se haya visto afectado.
Qué pasó
Según las declaraciones públicas de GitHub y las informaciones de The Hacker News, Cybersecurity News y otros, el incidente se desarrolló de la siguiente manera:
- Acceso inicial. TeamPCP introdujo una extensión maliciosa de Visual Studio Code en el dispositivo de desarrollo de un empleado de GitHub. La extensión recopiló claves de acceso y tokens de acceso del entorno local del IDE.
- Robo de repositorios. Usando las credenciales robadas, el atacante clonó unos 3800 repositorios privados internos de GitHub que contenían código fuente propio, scripts de implementación y material de configuración interna. Los medios de comunicación citaban inicialmente una cifra de unos 4000; GitHub describe la cifra más baja como «coherente en términos generales» con su investigación.
- Monetización. TeamPCP puso a la venta los datos robados en un foro de ciberdelincuencia y utilizó una cuenta de X/Twitter supuestamente asociada (xploitrsturtle2) para burlarse públicamente de GitHub.
- Detección por parte de GitHub. GitHub detectó la brecha el 19 de mayo, inició la respuesta al incidente y rotó los secretos críticos ese mismo día. GitHub eliminó la versión maliciosa de la extensión y aisló los endpoints infectados.
TTP clave de TeamPCP
La característica definitoria de TeamPCP es que obtienen acceso de forma indirecta mediante la instalación de puertas traseras en herramientas de seguridad y desarrollo de código abierto en las que los objetivos ya confían y ejecutan. A continuación se resumen cinco técnicas destacadas de TeamPCP, asignadas a sus identificadores de técnica MITRE ATT&CK asociados.
Compromiso de la cadena de suministro de software (T1195.002). Manipulación de herramientas de confianza (p. ej., Trivy, Checkmarx, LiteLLM) para distribuir malware a través de ecosistemas legítimos de actualizaciones y paquetes
Recolección de credenciales a gran escala (T1555 / T1003). Robo de contraseñas, claves API, credenciales en la nube y secretos de CI/CD de entornos de desarrollo y producción infectados
Uso indebido de cuentas válidas para obtener acceso lateral (T1078). Reutilización de tokens robados y credenciales de desarrolladores para moverse entre repositorios, pipelines y organizaciones
Uso indebido del ecosistema de paquetes y pipelines de CI/CD (T1608.004). Contaminación de pipelines de compilación y publicación de paquetes maliciosos para propagar el acceso a usuarios y dependencias posteriores
Propagación automatizada mediante gusanos a través de dependencias de software (T1210 / T1105). Despliegue de malware autopropagable (p. ej., CanisterWorm) para propagarse a gran escala a través de npm y los flujos de trabajo de los desarrolladores
Respuesta de Sophos
Sophos ha seguido de cerca este incidente desde su primera divulgación pública. A nivel interno, hemos hecho lo siguiente:
- Hemos revisado el entorno interno. Hemos analizado los registros de proxy de red, firewall local, eventos de datos centrales, DNS, ZTNA y de auditoría de GitHub basándonos en la información proporcionada hasta ahora. No hemos encontrado pruebas de compromiso. Resolvimos un pequeño número de coincidencias como bots externos no autenticados que sondeaban una ruta URL /git-service y las descartamos por no estar relacionados.
- Revisión de los registros de auditoría de GitHub. El equipo revisó las acciones anómalas relacionadas con tokens, secretos, OAuth, webhooks y descargas de los últimos 30 días; todos los eventos eran compatibles con la actividad rutinaria.
- B Búsqueda de extensiones de VS Code. El equipo recopiló una lista de las extensiones de VS Code presentes en el entorno de Sophos y las está evaluando en función de la reputación del editor y los ámbitos de permisos. La búsqueda está en marcha y sigue activa.
- B Seguimiento continuo. Sophos X-Ops sigue vigilando este incidente.
Recomendaciones
SophosLabs supervisa este incidente e investigará las oportunidades de detección y mitigación asociadas a la actividad de explotación. Sophos X-Ops recomienda lo siguiente:
Audita las extensiones de VS Code instaladas. Haz un inventario de las extensiones en los endpoints de los desarrolladores y las imágenes VDI. Marca cualquier cosa que no esté en el conjunto aprobado, especialmente: editores nuevos o poco comunes, typosquats, ampliaciones de permisos muy recientes y extensiones que permitan la integración de shell o la ejecución de tareas en repositorios de confianza.
Busca anomalías relacionadas con el IDE. En los endpoints de los desarrolladores, busca: procesos secundarios de VS Code que generen herramientas de Git o de credenciales fuera del horario laboral de los desarrolladores; descargas de archivos seguidas inmediatamente de la ejecución de un intérprete; conexiones salientes a dominios recientes o poco comunes desde los hosts de los desarrolladores.
Refuerza la identidad de los desarrolladores. Aplica tokens de corta duración, acceso restringido y SSO para el control de código fuente. Rota cualquier token de acceso de desarrollador de larga duración que haya estado en hosts potencialmente afectados. Revisa los registros de auditoría en busca de comportamientos de clonación masiva o patrones inusuales de lectura de repositorios.