- CZ advirtió a todos los desarrolladores que rotaran las claves API inmediatamente, incluso en repositorios privados.
- GitHub confirmó una brecha mediante una extensión VS Code envenenada que comprometió un dispositivo de empleados.
- TeamPCP afirma que se robaron 3.800 reposos internos y vende los datos por más de 50.000 dólares.
El fundador de Binance, Changpeng Zhao, lanzó una advertencia a los desarrolladores mientras la noticia de la brecha de GitHub se difundía por las redes sociales.
«Si tienes claves API en tu código, incluso en repositorios privados, ahora es el momento de comprobarlas y cambiarlas», escribió CZ en X.
La advertencia llegó cuando GitHub confirmó que está investigando accesos no autorizados a sus repositorios internos tras las afirmaciones del grupo amenazante TeamPCP de que robó datos de aproximadamente 4.000 repositorios privados e internos, incluyendo código fuente y archivos de la empresa.
El grupo intenta vender los datos robados por más de 50.000 dólares en foros clandestinos, añadiendo que si no se encuentra comprador, los datos se publicarán de forma gratuita.
Lo que confirmó GitHub
GitHub afirmó que la brecha se originó en un dispositivo de un empleado comprometido a través de una extensión Microsoft Visual Studio Code envenenada. La empresa detectó y contuvo el compromiso, eliminó la extensión maliciosa, aisló el endpoint y comenzó inmediatamente a rotar credenciales críticas, priorizando primero los secretos de mayor impacto.
En su comunicado público, GitHub confirmó que las afirmaciones de TeamPCP de aproximadamente 3.800 repositorios son coherentes en dirección con su propia investigación. La empresa afirmó que su evaluación actual es que la brecha implicó la exfiltración únicamente de repositorios internos de GitHub, sin evidencia de impacto en los repositorios de clientes, organizaciones empresariales o datos de usuarios almacenados fuera de los sistemas internos.
GitHub dijo que notificará a los clientes a través de canales de respuesta a incidentes establecidos si se detecta algún impacto en el cliente y publicará un informe más completo una vez finalizada la investigación.
TeamPCP sigue activo
La brecha de GitHub no es un incidente aislado. El mismo grupo de amenaza está ejecutando una campaña de malware separada llamada Mini Shai-Hulud, un gusano autorreplicante que ahora ha comprometido durabletask, un cliente oficial de Microsoft Python para el marco de ejecución de flujo de trabajo Durable Task. Se han identificado tres versiones maliciosas de paquetes: 1.4.1, 1.4.2 y 1.4.3.
Según la empresa de seguridad en la nube Wiz, propiedad de Google, el atacante comprometió una cuenta de GitHub mediante un ataque anterior, extrajo secretos de GitHub de un repositorio al que la cuenta tenía acceso y utilizó esos secretos para obtener un token PyPI que permitía la publicación directa de versiones maliciosas de paquetes.
El malware incrustado en los paquetes comprometidos funciona como un dropper, recuperando y ejecutando una carga útil de segunda etapa desde un servidor externo. La campaña es exclusiva para Linux y se extiende a través de entornos AWS SSM y Kubernetes.
La propia declaración de TeamPCP sobre la venta de datos de GitHub ofreció una descripción inusualmente sincera de sus intenciones. El grupo afirmó que no intentaba extorsionar a GitHub y afirmó que los datos serían eliminados tras una venta exitosa. También advirtió que la información podría hacerse pública si no surgiera ningún comprador.
Relacionado: El hackeo del protocolo Echo agota 816.000 dólares tras falsificar eBTC Mint
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
