Brecha en GitHub: TeamPCP compromete 3.800 repositorios internos y por qué la concienciación es clave

🚨 ¿Qué pasó con GitHub?

El 20 de mayo de 2026, GitHub confirmó una brecha de seguridad en la que el grupo de ciberdelincuentes TeamPCP (también conocido como UNC6780) logró acceder a aproximadamente 3.800 repositorios internos de la plataforma. El ataque se originó cuando un empleado de GitHub instaló una extensión maliciosa de Visual Studio Code en su dispositivo, lo que permitió a los atacantes exfiltrar código fuente y credenciales internas.

TeamPCP, conocido por su participación en múltiples ataques a la cadena de suministro en 2026 (como los dirigidos a Trivy, Checkmarx, Bitwarden CLI, TanStack y LiteLLM), publicó un anuncio en un foro de ciberdelincuencia ofreciendo la venta del código fuente robado por $50,000 USD. Aunque GitHub ha aclarado que no hay evidencia de que los repositorios de los clientes hayan sido afectados, el incidente subraya los riesgos crecientes asociados con las herramientas de desarrollo comprometidas y la seguridad de las estaciones de trabajo de los desarrolladores.

🔍 ¿Cómo ocurrió el ataque?

1. Vector de infección: Extensión maliciosa de VS Code

Un empleado de GitHub instaló una extensión de VS Code comprometida en su dispositivo.
Esta extensión robó credenciales y tokens de autenticación, lo que permitió a los atacantes acceder a los repositorios internos de GitHub.
TeamPCP explotó estas credenciales para moverse lateralmente dentro de la infraestructura de GitHub y exfiltrar datos.

2. Exfiltración de datos

Los atacantes accedieron a repositorios internos relacionados con:
- GitHub Actions
- Agentic Workflows
- Proyectos internos de Copilot
- Herramientas de CodeQL
- Infraestructura de seguridad
- Programas como Codespaces y Dependabot
No se vio afectado el código de los clientes: GitHub ha confirmado que, hasta ahora, no hay evidencia de que los repositorios de los clientes hayan sido comprometidos.

3. Publicación en foros de ciberdelincuencia

TeamPCP anunció la venta del código fuente robado en un foro oscuro, exigiendo $50,000 USD por el dataset completo.
Amenazaron con filtrar los datos gratuitamente si no encontraban un comprador.

"Un solo dispositivo con una extensión maliciosa fue suficiente para acceder a 3.800 repositorios internos de GitHub" — HackRead.

💥 Impacto del ataque

1. Riesgos para GitHub y sus usuarios

Pérdida de propiedad intelectual: El código fuente de herramientas internas de GitHub podría ser utilizado por competidores o actores malintencionados.
Posible explotación de vulnerabilidades: Si los atacantes encuentran vulnerabilidades en el código robado, podrían explotarlas para acceder a sistemas adicionales o lanzar ataques más sofisticados.
Erosión de la confianza: Aunque los repositorios de los clientes no fueron comprometidos, el incidente afecta la confianza en la seguridad de GitHub como plataforma.

2. Patrones de TeamPCP en 2026

TeamPCP ha estado detrás de una serie de ataques a la cadena de suministro en 2026, incluyendo:

Trivy (Aqua Security): Compromiso del escáner de vulnerabilidades, afectando a más de 1,000 organizaciones, incluyendo Cisco.
Checkmarx: Compromiso de flujos de trabajo de GitHub Actions y extensiones OpenVSX.
Bitwarden CLI: Publicación de una versión maliciosa del paquete npm.
TanStack: Compromiso de 42 paquetes npm, afectando a miles de proyectos.
LiteLLM: Infección de miles de dispositivos con su malware "TeamPCP Cloud Stealer".

Este ataque a GitHub representa una escalada significativa: de dirigirse a herramientas que se ejecutan en GitHub, a atacar GitHub mismo.

🛡️ ¿Qué está haciendo GitHub?

GitHub ha tomado las siguientes medidas para contener el incidente:

Aislamiento del dispositivo comprometido: El dispositivo infectado fue aislado para evitar mayor acceso.
Eliminación de la extensión maliciosa: La extensión de VS Code utilizada en el ataque fue eliminada.
Rotación de credenciales: GitHub rotó credenciales y claves criptográficas de alto impacto para revocar el acceso de los atacantes.
Investigación en curso: La empresa está colaborando con firmas de ciberseguridad y fuerzas del orden para investigar el alcance completo del incidente.

Estamos monitoreando nuestra infraestructura en busca de actividad posterior. Si se descubre algún impacto en los clientes, los notificaremos a través de los canales establecidos de respuesta a incidentes — GitHub.

📢 El papel de AiSecBox: Concienciación, no sólo análisis de código y despliegues seguros

En AiSecBox, nos enfocamos en dos pilares fundamentales para la seguridad del software:

1. Análisis de seguridad SAST (estáticos) y DAST (dinámicos)

Nuestras herramientas están diseñadas para analizar tu código y tus entornos de despliegue, asegurando que:

Las dependencias que usas son seguras y no contienen vulnerabilidades conocidas.
Tus configuraciones de despliegue (como Docker, Kubernetes o CI/CD) siguen las mejores prácticas de seguridad.
Los contenedores y artefactos que despliegas están libres de malware o configuraciones inseguras.

Aunque este incidente en GitHub no está directamente relacionado con el código o los despliegues de los clientes, es un recordatorio de que la seguridad es un ecosistema interconectado. Un compromiso en una herramienta de desarrollo (como una extensión de VS Code) puede tener consecuencias graves en toda la cadena de suministro.

2. Concienciación y educación

En AiSecBox, creemos que la concienciación es tan importante como las herramientas técnicas. Por eso, publicamos artículos como este para:

Informar a los desarrolladores sobre las últimas amenazas y cómo protegerse.
Difundir buenas prácticas de seguridad en el desarrollo de software.
Fomentar una cultura de seguridad proactiva en los equipos de desarrollo.

**La seguridad no es solo responsabilidad de los equipos de ciberseguridad: es un esfuerzo colectivo que comienza con cada desarrollador.

📌 Acciones recomendadas para equipos de desarrollo

1. Audita tus extensiones y herramientas

Revisa todas las extensiones de VS Code instaladas en los dispositivos de tu equipo.
Elimina extensiones no reconocidas o sospechosas.
Usa solo extensiones de fuentes confiables (como el Marketplace oficial de VS Code).

2. Refuerza la seguridad de tus estaciones de trabajo

Instala software de seguridad (antivirus, EDR) en todos los dispositivos de desarrollo.
Limita los permisos de las extensiones y herramientas de desarrollo.
Usa autenticación multifactor (MFA) para acceder a repositorios y herramientas críticas.
Ejecuta códifo en entornos seguros (sandboxes con firecracker)

3. Monitorea y detecta actividad sospechosa

Configura alertas para cambios no autorizados en repositorios o credenciales.
Revisa logs de acceso a GitHub y otras plataformas de desarrollo.

4. Mantente informado

Sigue blogs de seguridad como el de AiSecBox para estar al tanto de las últimas amenazas.
Participa en formaciones sobre buenas prácticas de seguridad en el desarrollo.

🔚 Conclusión: La concienciación es la primera línea de defensa

El ataque a GitHub por parte de TeamPCP es un recordatorio contundente de que las estaciones de trabajo de los desarrolladores y las herramientas que usan son objetivos principales en los ataques a la cadena de suministro.

En AiSecBox, combinamos el análisis técnico de código y despliegues con la difusión de conocimiento para ayudarte a proteger tu proyecto. La seguridad no es solo una cuestión de herramientas, sino también de concienciación y cultura.

No esperes a que un incidente como este afecte a tu organización. Mantente informado, adopta buenas prácticas y usa herramientas como AiSecBox para analizar tu código y despliegues con rigor.

📚 Recursos adicionales

¿Quieres estar al tanto de las últimas amenazas y buenas prácticas en seguridad? Sigue nuestro blog y únete a nuestra comunidad para recibir actualizaciones y recursos exclusivos.

🚨 ¿Qué pasó con GitHub?

🔍 ¿Cómo ocurrió el ataque?

1. Vector de infección: Extensión maliciosa de VS Code

Un empleado de GitHub instaló una extensión de VS Code comprometida en su dispositivo.
Esta extensión robó credenciales y tokens de autenticación, lo que permitió a los atacantes acceder a los repositorios internos de GitHub.
TeamPCP explotó estas credenciales para moverse lateralmente dentro de la infraestructura de GitHub y exfiltrar datos.

2. Exfiltración de datos

Los atacantes accedieron a repositorios internos relacionados con:
- GitHub Actions
- Agentic Workflows
- Proyectos internos de Copilot
- Herramientas de CodeQL
- Infraestructura de seguridad
- Programas como Codespaces y Dependabot
No se vio afectado el código de los clientes: GitHub ha confirmado que, hasta ahora, no hay evidencia de que los repositorios de los clientes hayan sido comprometidos.

3. Publicación en foros de ciberdelincuencia

TeamPCP anunció la venta del código fuente robado en un foro oscuro, exigiendo $50,000 USD por el dataset completo.
Amenazaron con filtrar los datos gratuitamente si no encontraban un comprador.

"Un solo dispositivo con una extensión maliciosa fue suficiente para acceder a 3.800 repositorios internos de GitHub" — HackRead.

💥 Impacto del ataque

1. Riesgos para GitHub y sus usuarios

Pérdida de propiedad intelectual: El código fuente de herramientas internas de GitHub podría ser utilizado por competidores o actores malintencionados.
Posible explotación de vulnerabilidades: Si los atacantes encuentran vulnerabilidades en el código robado, podrían explotarlas para acceder a sistemas adicionales o lanzar ataques más sofisticados.
Erosión de la confianza: Aunque los repositorios de los clientes no fueron comprometidos, el incidente afecta la confianza en la seguridad de GitHub como plataforma.

2. Patrones de TeamPCP en 2026

TeamPCP ha estado detrás de una serie de ataques a la cadena de suministro en 2026, incluyendo:

Trivy (Aqua Security): Compromiso del escáner de vulnerabilidades, afectando a más de 1,000 organizaciones, incluyendo Cisco.
Checkmarx: Compromiso de flujos de trabajo de GitHub Actions y extensiones OpenVSX.
Bitwarden CLI: Publicación de una versión maliciosa del paquete npm.
TanStack: Compromiso de 42 paquetes npm, afectando a miles de proyectos.
LiteLLM: Infección de miles de dispositivos con su malware "TeamPCP Cloud Stealer".

Este ataque a GitHub representa una escalada significativa: de dirigirse a herramientas que se ejecutan en GitHub, a atacar GitHub mismo.

🛡️ ¿Qué está haciendo GitHub?

GitHub ha tomado las siguientes medidas para contener el incidente:

Aislamiento del dispositivo comprometido: El dispositivo infectado fue aislado para evitar mayor acceso.
Eliminación de la extensión maliciosa: La extensión de VS Code utilizada en el ataque fue eliminada.
Rotación de credenciales: GitHub rotó credenciales y claves criptográficas de alto impacto para revocar el acceso de los atacantes.
Investigación en curso: La empresa está colaborando con firmas de ciberseguridad y fuerzas del orden para investigar el alcance completo del incidente.

Estamos monitoreando nuestra infraestructura en busca de actividad posterior. Si se descubre algún impacto en los clientes, los notificaremos a través de los canales establecidos de respuesta a incidentes — GitHub.

📢 El papel de AiSecBox: Concienciación, no sólo análisis de código y despliegues seguros

En AiSecBox, nos enfocamos en dos pilares fundamentales para la seguridad del software:

1. Análisis de seguridad SAST (estáticos) y DAST (dinámicos)

Nuestras herramientas están diseñadas para analizar tu código y tus entornos de despliegue, asegurando que:

Las dependencias que usas son seguras y no contienen vulnerabilidades conocidas.
Tus configuraciones de despliegue (como Docker, Kubernetes o CI/CD) siguen las mejores prácticas de seguridad.
Los contenedores y artefactos que despliegas están libres de malware o configuraciones inseguras.

2. Concienciación y educación

En AiSecBox, creemos que la concienciación es tan importante como las herramientas técnicas. Por eso, publicamos artículos como este para:

Informar a los desarrolladores sobre las últimas amenazas y cómo protegerse.
Difundir buenas prácticas de seguridad en el desarrollo de software.
Fomentar una cultura de seguridad proactiva en los equipos de desarrollo.

**La seguridad no es solo responsabilidad de los equipos de ciberseguridad: es un esfuerzo colectivo que comienza con cada desarrollador.

📌 Acciones recomendadas para equipos de desarrollo

1. Audita tus extensiones y herramientas

Revisa todas las extensiones de VS Code instaladas en los dispositivos de tu equipo.
Elimina extensiones no reconocidas o sospechosas.
Usa solo extensiones de fuentes confiables (como el Marketplace oficial de VS Code).

2. Refuerza la seguridad de tus estaciones de trabajo

Instala software de seguridad (antivirus, EDR) en todos los dispositivos de desarrollo.
Limita los permisos de las extensiones y herramientas de desarrollo.
Usa autenticación multifactor (MFA) para acceder a repositorios y herramientas críticas.
Ejecuta códifo en entornos seguros (sandboxes con firecracker)

3. Monitorea y detecta actividad sospechosa

Configura alertas para cambios no autorizados en repositorios o credenciales.
Revisa logs de acceso a GitHub y otras plataformas de desarrollo.

4. Mantente informado

Sigue blogs de seguridad como el de AiSecBox para estar al tanto de las últimas amenazas.
Participa en formaciones sobre buenas prácticas de seguridad en el desarrollo.

🔚 Conclusión: La concienciación es la primera línea de defensa

📚 Recursos adicionales

¿Quieres estar al tanto de las últimas amenazas y buenas prácticas en seguridad? Sigue nuestro blog y únete a nuestra comunidad para recibir actualizaciones y recursos exclusivos.