L’actor d’amenaces TeamPCP hi va poder accedir perquè un empleat va instal·lar una extensió maliciosa per a VSCode.

GitHub ha confirmat que ha patit un incident de seguretat en què un actor d’amenaces va aconseguir accedir a una part dels seus repositoris interns. 

L’atacant va aconseguir comprometre el dispositiu d’un empleat mitjançant una extensió maliciosa de Visual Studio Code que el treballador va descarregar sense adonar-se’n. D’aquesta manera, el pirata informàtic va prendre control de l’equip afectat i es va poder moure lateralment. 

Des de GitHub no han dit expressament quina és l’extensió ‘enverinada’ ni tampoc ha compartit detalls sobre el tipus de dades que contenia l’equip infectat. 

L’empresa, propietat de Microsoft, sí que ha assegurat que l’incident va ser detectat i contingut ràpidament, i que el codi maliciós va ser eliminat de manera immediata. A més, es va aïllar el dispositiu compromès i es van activar els protocols de resposta a incidents.

La plataforma d’intercanvi de codis ha rotat immediatament els secrets crítics, donant prioritat a les credencials de més impacte. 

GitHub assenyala que la investigació continua oberta, però ara com ara no ha trobat indicis d’impacte en dades de clients ni en la infraestructura de producció. Tampoc no s’han detectat accessos addicionals posteriors a la contenció de l’incident.

L’autor de l’atac és el grup infame de ciberdelinqüents TeamPCP, molt enfocat en incidents contra la cadena de subministrament i la comunitat de codi obert. Aquest assegura haver aconseguit prop de 4.000 repositoris interns de GitHub.

Codi en oferta

El ciberdelinqüent va afirmar haver robat codi font i informació interna de l’organització i ofereix el seu ‘botí’ a qualsevol comprador que estigui disposat a desemborsar almenys 50.000 dòlars. 

«Actualment, les estacions de treball dels desenvolupadors són l’objectiu principal dels atacs a la cadena de subministrament, i aquesta n’és precisament la raó. TeamPCP ha compromès Trivy, Checkmarx, Bitwarden CLI, TanStack i ara GitHub, tot el 2026, a través d’eines per a desenvolupadors», ha comentat Mackenzie Jackson, d’Aikido Security, segons recull la pàgina Security Week.

Acaba dient que «Una sola extensió de VS Code a l’ordinador d’un empleat va ser suficient per obtenir accés a 3.800 repositoris interns de GitHub. La majoria dels equips de seguretat encara no tenen visibilitat sobre quines extensions o paquets hi ha als ordinadors dels seus desenvolupadors, ni sobre la data de la seva última publicació. Aquest és el punt cec que aquests atacs continuen aprofitant.»