Un sofisticado ataque a la cadena de suministro ha comprometido 3.800 repositorios de código internos de GitHub, profundizando una crisis en la plataforma de desarrollo propiedad de Microsoft que incluye un éxodo de líderes, interrupciones persistentes del servicio y crecientes amenazas competitivas. La brecha, llevada a cabo por el grupo de hackers con fines financieros TeamPCP, se originó cuando un empleado instaló una extensión infectada para Visual Studio Code, el popular editor de código de Microsoft.
"Eliminamos la versión maliciosa de la extensión, aislamos el equipo y comenzamos la respuesta al incidente de inmediato", dijo GitHub en un comunicado, confirmando que se rotaron los secretos críticos. La Directora de Seguridad de la compañía, Alexis Wales, confirmó más tarde que el vector de ataque fue una versión maliciosa de la extensión Nx Console, v18.95.0, que estuvo activa en el mercado oficial durante solo 18 minutos el 18 de mayo. A pesar del breve margen de tiempo, las actualizaciones automáticas pueden haber enviado el paquete malicioso a más de 6.000 usuarios.
Al ataque, con el identificador asignado CVE-2026-48027, le correspondió una carga útil de robo de credenciales conocida como SANDCLOCK que se obtuvo de un paquete oculto. El punto de entrada inicial para los atacantes fue un compromiso previo de la herramienta de desarrollo de código abierto TanStack el 11 de mayo, lo que les permitió robar las credenciales de GitHub de un desarrollador de Nx Console. TeamPCP ofreció inicialmente los 3.800 repositorios robados a la venta por 50.000 dólares, aumentando posteriormente el precio a 95.000 dólares tras parecer asociarse con el grupo de hackers Lapsus$.
La brecha de seguridad agrava un periodo de agitación interna que comenzó tras la salida del ex CEO Thomas Dohmke el año pasado. Microsoft optó por no nombrar a un sucesor, integrando en su lugar a GitHub en su equipo CoreAI, dirigido por el ex ejecutivo de Meta Jay Parikh. La medida ha sido seguida por un éxodo de líderes sénior, incluida la veterana de 34 años de Microsoft Julia Liuson y la Directora de Ingresos Elizabeth Pemmerl. La inestabilidad y las frecuentes interrupciones del servicio han llevado a los desarrolladores a cuestionar públicamente la fiabilidad de la plataforma, y algunos proyectos de alto perfil han anunciado su partida.
Una amenaza creciente para la cadena de suministro
El incidente de GitHub es la consecuencia más visible de una campaña de meses de duración por parte de TeamPCP (rastreado por el grupo de Inteligencia de Amenazas de Google como UNC6780) dirigida al ecosistema de desarrollo de software. El método del grupo es un ciclo que se perpetúa a sí mismo: comprometer una herramienta de desarrollo popular para robar credenciales, y luego usar esas credenciales para publicar versiones maliciosas de otras herramientas, ampliando su acceso.
Grafana Labs confirmó que también se vio comprometida a través del mismo ataque inicial a TanStack, recibiendo una demanda de rescate el 16 de mayo que se negó a pagar. Dos dispositivos de empleados en OpenAI y ciertos repositorios de código en Mistral AI también se vieron comprometidos en la misma ola de ataques.
"Las estaciones de trabajo de los desarrolladores poseen ahora el mismo valor estratégico que los controladores de dominio", dijo Morey Haber, asesor principal de seguridad de BeyondTrust Corp., en un correo electrónico. "El acceso a los repositorios de código fuente, secretos, claves SSH, credenciales en la nube, certificados de firma y canales de despliegue puede transformar un solo equipo comprometido en un incidente de cadena de suministro en cascada".
El desafío estratégico de Microsoft
Si bien GitHub sostiene que ningún código de cliente se vio afectado, la brecha del código de su propia plataforma brinda a los atacantes información sobre su arquitectura, lo que podría permitir futuros exploits de día cero. El incidente resalta el desafío estratégico que enfrenta Microsoft, que adquirió GitHub por 7.500 millones de dólares en 2018. La plataforma no es solo un producto, sino la base de la relación de Microsoft con la comunidad de desarrolladores.
La crisis se produce mientras la herramienta Copilot de GitHub, impulsada por IA, está perdiendo su ventaja competitiva frente a rivales como Cursor y Claude Code. Fuentes internas informan que Jay Parikh ha advertido a sus colegas que GitHub enfrenta una "amenaza severa". La combinación de fallos de seguridad, inestabilidad operativa y una percepción de pérdida de rumbo corre el riesgo de erosionar la confianza de los desarrolladores, que es el activo más crítico de GitHub, creando una oportunidad para que los rivales remodelen el mercado.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
