han hackeado GitHub y no, ninguna broma.

Lo que ha empezado con un post en un

foro diciendo que han tenido acceso a

casi 4,000 repositorios internos de

GitHub se ha convertido en noticia y es

que está confirmado. Pero, ¿qué ha

pasado y por qué? Te lo cuento en este

vídeo y es que el grupo Team PCP, los

mismos que llevan semanas, meses

azotando el ecosistema de Python y de

JavaScript con paquetes maliciosos, han

anunciado que han tenido acceso a 4,000

repositorios internos de GitHub y por

interno me refiero a código privado. Por

ejemplo, podríamos tener el repositorio

de Codex o de las entrañas de GitHub. De

hecho, uno de los cibercriminales que ha

tenido acceso a todos estos repositorios

comenta que Ghaub ha sabido esto por

horas, que han tiempo en

decírtelo y que no van a ser honestos en

el futuro. Dice, "Qué carrera tan

increíble ha sido un honor jugar con los

gatos." Refiriéndose al gato de GitHub

durante los últimos meses y ha posteado

esta imagen donde podemos ver un montón

de repositorios internos que los tienes

pues comprimidos. Y fíjate que tenemos

alguno de servidores MCP, pero incluso

podemos encontrar alguno de Codex. Aquí

lo tenemos, pplodex.

Así que mira, Centry Reports, bueno,

telemetría, traducciones, UI. Bueno, un

montón de repositorios. Y fíjate que

aquí con los tamaños no se sabe 100% si

son reales estos archivos que se ven

aquí, aunque nos podemos imaginar que sí

que tiene pinta más que nada porque es

que la propia Ghaub lo ha confirmado. Y

en el foro, en el mensaje, lo que

comentan es que te pueden dar acceso a

todo este contenido, a estos 4000

repositorios de código privado si pagas

a partir de $50,000. Bueno, están

haciendo una puja, el que más pague se

lleva el código. Pero claro, todavía no

sabemos realmente hasta dónde ha

llegado. ¿Y qué ha dicho GIUP al

respecto? Pues vamos a verlo. En mitad

de la madrugada ya teníamos la primera

respuesta. Decía GitHub en Twitter que

estaba investigando un acceso no

autorizado a los repositorios internos

de GitHub. Aunque actualmente no tenían

evidencia de un impacto en la

información de los clientes almacenada

fuera de estos repositorios internos de

GitHub. como empresas, organizaciones,

repositorios, nuestros clientes estaban

monitoreando de cerca la infraestructura

en busca de actividad posterior, que si

encontraban cualquier impacto, pues que

no se preocupasen, que iban a notificar

a sus clientes para que así pues

pudieran hacer cualquier tipo de acción

a través de los canales de notificación

establecidos. Y unas horas después

tenemos más información. Ghaub dice que

está compartiendo detalles adicionales

con respecto a la investigación sobre el

acceso no autorizado a estos

repositorios internos de GIUAB. Ayer

detectaron y contenieron una violación

en un dispositivo de un empleado que

involucraba una extensión envenenada de

Visual Studio Code. O sea, la infección,

el hackeo, la brecha de seguridad ha

sido a través de una extensión de Visual

Studio Code que ya tiene su cosa, que es

una extensión de un editor de Microsoft

que Visual Studio Code, que aunque han

eliminado la versión maliciosa de esta

extensión y aislaron el punto final, han

comenzado la respuesta incidente de

inmediato. Claro, pero ya es demasiado

tarde. Una vez que se instala esa

extensión en Visual Studio Code y tiene

acceso a tokens que seguramente le daba

la oportunidad de acceder a repositorios

privados, organizaciones privadas de

GitHub, el atacante ha podido extraer un

montón de información. Según la gente de

GitHub, por la evaluación actual, la

actividad solo involucró exfiltración de

repositorios internos de GitHub. O sea,

el atacante dice que tiene acceso a

3,800 repositorios de código privado y

según GHub esto es consistente con la

investigación hasta el momento, o sea,

es verdad, totalmente cierto. Dice Ghaub

que se ha movido rápidamente para

reducir el riesgo. Los secretos críticos

los han rotado y durante la noche están

priorizando primero las credenciales de

mayor impacto, o sea, tokens, API keys o

lo que sea que podrían haber sido

filtradas, que sean importantes, ya las

han rotado de forma interna, o sea, no

las tuyas, que están continuando

analizando registros, validando la

rotación de secretos y monitoreando

cualquier actividad de seguimiento.

están tomando acciones adicionales según

lo justifique la investigación. Y

todavía y todavía este es el último

mensaje hace 4 horas, esto ha sido en la

madrugada en España, dice que publicarán

un reporte completo una vez que la

investigación sea terminada, pero ahora

mismo no sabemos más. ¿Qué ocurre con

esto? Bueno, que realmente aunque ahora

mismo, a esta hora no tenemos ningún

tipo de pista de que realmente tus

secretos, tus variables de entorno, tus

configuraciones internas, tus

repositorios privados, nada de eso haya

podido ser accedido o revisado o copiado

o robado, lo cierto es que tampoco lo

puedes descartar. O sea, una vez que se

ha podido comprometer toda la

infraestructura de GitHub y han tenido

acceso a 3,800 repositorios internos de

la compañía, es muy difícil que

cualquier persona ahora mismo te pueda

asegurar al 100% que tus secretos o

variables de entorno no hayan sido

expuestas.

Vamos a tener que esperar, obviamente, a

que GitHub lo confirme y vamos a tener y

vamos a estar muy atentos al respecto,

pero espero que al menos tengas un plan

de acción porque si no podrías

encontrarte en problemas de repente. Y

ahora la pregunta del millón, ¿cómo

puedes hacer que no te pase a ti? Porque

sí le ha pasado a Gijha, ¿a quién no le

puede pasar? Bueno, lo primero y lo más

importante es que no instales

extensiones de Quiero decir,

muchas veces hay extensiones que se

hacen pasar por extensiones importantes,

originales. Por ejemplo, salen muchas

extensiones de Slint, que no es la

oficial de Slint, y te intentan engañar

con el número de descargas. Ten mucho,

mucho cuidado con esto. No te puedes

fiar ni por el número de descargas, ni

siquiera por el check de verificado. Y

es que por más que el proceso es manual,

muchas veces se están colando. Así que

no te puedes fiar de esto. ¿Cómo lo

harías realmente? pues te tienes que

asegurar que realmente vas al

marketplace, miras la extensión, te

aseguras que el autor sea el original,

que todo esté en orden, que no estén

intentando colártela, que no se haya

creado esta extensión desde hace muy

poquito, que la actualización tenga todo

el sentido del mundo y entonces te la

puedes descargar. Es verdad, o sea, ¿qué

quieres que te diga? Y estoy seguro que

en los comentarios me vais a dejar un

millón de comentarios de menudo mundo se

nos ha quedado, de que el ecosistema a

la mínima te instalas una extensión y me

van a Pues sí, tienes toda la razón.

¿Qué quieres que te diga? Y esto lo

tiene que arreglar Microsoft, es un

problema histórico. Ya estamos cansados

de que esto ocurra y quiero pensar que

con lo que les ha pasado lo van a

solucionar de una vez por todas. Lo

segundo que puedes hacer, sobre todo si

eres una empresa, si eres una

organización, es una no

controlar qué extensiones pueden

instalar tus empleados. Y es muy fácil

porque resulta que en Visual Studio Code

tienes la posibilidad de controlar qué

extensiones se instalan. Oye, y sé que

es un rollo porque es muy manual, pero

mucho mejor tener un set controlado de

extensiones y bajo demanda, pues el

hecho de ir añadiendo extensiones que

tengan sentido dentro de tu

organización, pero no dejar el libre

albedrío de que cada persona elija qué

extensión instala, especialmente porque

habiendo tantos miles y miles de

extensiones ahí fuera que no son de

fiar, pues que puedan descargar una que

no esté controlada. Así que una razón

más. Lo tercero, obviamente instala

cuantas menos extensiones, mejor. Veo

mucha gente que tiene cientos de

extensiones instaladas, que ya hay

extensiones que ni siquiera saben para

qué sirven. Y a ver, no me

malinterpretes. Yo tengo una extensión

que es Better SVG, que por cierto es la

novena y que está en tendencia y estoy

encantado y siempre intento pues que

esté lo mejor posible, pero lo cierto es

que yo intento tener el mínimo número de

extensiones posible y si hay cualquier

funcionalidad que ya la tenga el editor,

lo que hago es lo primero desinstalar

esa extensión para no utilizarla. Así

que ya sabes, no instales extensiones

para cualquier cosa y menos de autores

que no conoces. No te voy a engañar.

Estamos ante un reto bastante

importante, un montón de ataques en las

últimas semanas, muchas vulnerabilidades

y ahora esto, GHub, el repositorio de

código más importante del mundo, ha

tenido una brecha de datos, ha sido

hackeado en su corazón a partir de una

simple extensión de Visual Studio Code.

Así que nada, espero que te haya gustado

este vídeo de urgencia, que le dejes un

buen like, que te suscribas para no

perderte nada de esto, para que estés

siempre a la última. y déjame en los

comentarios qué te parece, qué opinas y

cómo tú lo hubieras evitado. Hala,

cuídate. Hasta luego. Chao. Tú no habrás

tenido algo que ver, ¿no? Con este

hackeo. ¿Tienes algo que decir?