Ya hemos visto que el ecosistema de extensiones de VS Code se ha convertido en uno de los vectores favoritos del cibercrimen, y ahora nos topamos con un caso que afecta directamente a la casa matriz. GitHub ha confirmado que aproximadamente 3.800 repositorios internos quedaron expuestos después de que uno de sus empleados instalara una extensión troyanizada en su equipo, abriendo de par en par la puerta al atacante.
La compañía, propiedad de Microsoft, ha retirado la extensión del Marketplace, ha aislado el dispositivo afectado y ha activado el protocolo de respuesta al incidente, aunque el daño reputacional ya está hecho porque hablamos de la mayor plataforma de código del mundo viéndose comprometida por el mismo tipo de ataque que lleva meses denunciando.
GitHub confirma la brecha de seguridad y el alcance del incidente
El mensaje oficial llegó a través de la cuenta corporativa de la empresa en X, donde reconocieron sin medias tintas la magnitud del problema. «Ayer detectamos y contuvimos una brecha de seguridad en el dispositivo de un empleado que involucraba una extensión maliciosa de VS Code. Eliminamos la versión maliciosa de la extensión, aislamos el equipo y comenzamos la respuesta al incidente de inmediato», comunicaron desde GitHub.
Nuestra evaluación actual indica que la actividad consistió únicamente en la extracción de datos de repositorios internos de GitHub. Las afirmaciones actuales del atacante sobre unos 3.800 repositorios coinciden en gran medida con nuestra investigación hasta el momento.
La compañía añadió que no tiene pruebas de que los datos de clientes almacenados fuera de los repositorios afectados se hayan visto comprometidos, un matiz importante porque acota el perímetro al código interno y no a la información de los más de 180 millones de desarrolladores que usan la plataforma a diario.
¿Quién está detrás del ataque a GitHub?
Aunque GitHub todavía no ha atribuido oficialmente la autoría, el grupo de ciberdelincuentes TeamPCP se adjudicó la filtración en el foro Breached, donde puso precio a los datos y exigió al menos 50.000 dólares por el lote completo de unos 4.000 repositorios privados. El propio grupo dejó claro que no busca extorsionar a GitHub directamente, sino vender el material al mejor postor o filtrarlo gratis si nadie pica el anzuelo, una postura que delata cierta fatiga porque ellos mismos hablan de «jubilarse pronto».
TeamPCP no es un nombre nuevo en el sector y arrastra un historial cargado contra plataformas de desarrollo, con ataques previos documentados contra PyPI, NPM y Docker, además de la reciente campaña «Mini Shai-Hulud» que llegó a afectar a dos empleados de OpenAI. Que ahora hayan apuntado a la propia GitHub cierra un círculo bastante inquietante porque demuestra que ningún eslabón de la cadena de suministro del software está realmente blindado.
Por qué las extensiones de VS Code se han vuelto un riesgo serio
Las extensiones del editor de Microsoft funcionan como complementos descargables desde el Marketplace oficial para añadir funciones o integrar herramientas, y precisamente esa apertura es la que los atacantes llevan tiempo aprovechando. El año pasado se retiraron extensiones con 9 millones de instalaciones acumuladas por riesgos de seguridad, y otra tanda de diez complementos que se hacían pasar por herramientas legítimas terminó infectando equipos con el criptominero XMRig.
Hace pocos meses, el ciberdelincuente conocido como WhiteCobra inundó el Marketplace con 24 extensiones diseñadas para robar criptomonedas, incluida una con capacidades básicas de ransomware que pasó los filtros de revisión. Y en enero de 2026, dos extensiones que se vendían como asistentes de codificación basados en IA, con 1,5 millones de instalaciones entre ambas, estuvieron exfiltrando datos de sistemas de desarrolladores hacia servidores ubicados en China.
El patrón se repite y la pregunta incómoda es por qué Microsoft sigue sin endurecer el proceso de revisión del Marketplace, porque a estas alturas cualquiera que monte una empresa de desarrollo asume que sus desarrolladores van a instalar cosas dudosas tarde o temprano. Cuando el agujero está en el portátil del propio empleado de GitHub, el mensaje al resto del sector es bastante desolador.
Qué pasa ahora y qué debería preocupar al desarrollador medio
La plataforma de GitHub la usan más de 4 millones de organizaciones, incluido el 90% de las empresas del Fortune 100, así que el coste reputacional de este incidente no se mide solo en repositorios filtrados sino en confianza erosionada. Habrá que ver si publican un informe forense detallado con el nombre de la extensión y el vector exacto, porque sin esa información los equipos de seguridad que dependen de la plataforma van a ciegas.
Para el desarrollador individual, el consejo práctico no cambia respecto a lo que llevamos repitiendo todo este año: revisar a fondo las extensiones instaladas, comprobar publisher verificado, limitar permisos cuando sea posible y desconfiar especialmente de los complementos de IA que prometen demasiado. Si el equipo de seguridad de la propia GitHub se ha comido un troyano, el resto del mundo debería asumir que también puede pasarle.