El 18 de mayo de 2026, una versión maliciosa de la extensión Nx Console para VS Code apareció en el Visual Studio Marketplace. Estuvo activa apenas unos minutos antes de ser retirada. Eso fue suficiente. El resultado fue una brecha de seguridad en repositorios de GitHub: un empleado de GitHub tenía la actualización automática activada, el código infectado se ejecutó en su máquina, recolectó credenciales y abrió las puertas a miles de repositorios internos de la compañía.
La anatomía de un asalto relámpago a la cadena de suministro
El incidente ha hecho saltar todas las alarmas en la comunidad de desarrollo de software. Los atacantes del grupo ciberdelincuente TeamPCP ejecutaron una carambola técnica impecable. Todo comenzó días antes con una contaminación en el ecosistema npm de TanStack. Un programador legítimo de la extensión Nx Console instaló un paquete infectado sin saberlo debido a un error de configuración en su gestor de paquetes. Sus credenciales de acceso fueron robadas en el acto. Una semana después, los atacantes usaron esas llaves robadas para subir la actualización envenenada de la extensión a la tienda oficial de Microsoft.
La velocidad del ataque fue devastadora. Aunque los sistemas automáticos tardaron menos de veinte minutos en detectar y fulminar el archivo corrupto, la brecha de seguridad en repositorios de GitHub ya se había consumado. El código malicioso inyectado buscaba de forma agresiva tokens de AWS, accesos a Google Cloud, claves SSH y contraseñas del sistema. Los atacantes ya han puesto a la venta el código fuente sustraído por una cifra inicial de 50.000 dólares en foros de la dark web. Por su parte, GitHub ha confirmado que la intrusión afectó exclusivamente a sus herramientas de uso interno, descartando por ahora cualquier filtración de datos de clientes o empresas externas que usan su plataforma.
El peligro invisible que duerme en tu editor de código
Este hackeo ha puesto el foco sobre una vulnerabilidad estructural de la que los expertos llevan advirtiendo años. Lo peor es que las tiendas de extensiones de herramientas como VS Code o Cursor carecen de auditorías de seguridad profundas antes de publicar actualizaciones. Los complementos se ejecutan con permisos totales sobre el sistema operativo y las herramientas tradicionales de antivirus suelen pasar por alto estos comportamientos porque no analizan scripts interpretados en tiempo real.
GitHub ha reaccionado aislando los equipos afectados y revocando a contrarreloj todas las credenciales corporativas comprometidas. En cambio, para el desarrollador de a pie, la lección es clara. Si utilizabas esta extensión a mediados de mayo, la recomendación oficial pasa por actualizar de inmediato a una versión limpia, revisar los procesos activos del sistema y regenerar cualquier token de API o clave de servidores en la nube que tuvieras guardada en local.
La infraestructura global de desarrollo vuelve a tambalearse por un eslabón aparentemente inofensivo. Si una de las mayores empresas de desarrollo del planeta puede caer por un despiste de quince minutos en una extensión automatizada, cualquiera está expuesto. Toca revisar los permisos de nuestros entornos antes de que el siguiente parche automático nos deje al descubierto.
Puedes seguir a HardwarePremium en Facebook, Twitter (X), Instagram, Threads, BlueSky o Youtube. También puedes consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.
Preguntas frecuentes sobre el incidente de ciberseguridad en GitHub
¿Qué provocó exactamente la brecha de seguridad en repositorios de GitHub?
La brecha se originó cuando un empleado instaló de forma automática una actualización infectada de la extensión Nx Console en VS Code, la cual contenía un script diseñado para robar credenciales del sistema.
¿Se han filtrado datos personales o repositorios de usuarios comunes?
No. Según el comunicado oficial emitido por la compañía, la brecha de seguridad en repositorios de GitHub afectó únicamente a proyectos e infraestructura de desarrollo interno de la empresa, sin comprometer datos de clientes o cuentas públicas.
¿Quién está detrás de este ataque informático de mayo de 2026?
El ataque ha sido reivindicado por el grupo TeamPCP (UNC6780), una organización con un historial conocido de asaltos rápidos a cadenas de suministro de software y robo de código a grandes firmas tecnológicas.
¿Por qué las herramientas de seguridad tradicionales no detectaron el software malicioso?
Las extensiones de VS Code se ejecutan como scripts de texto plano con amplios privilegios dentro del sistema de desarrollo, lo que permite que evadan con relativa facilidad los sistemas tradicionales de detección de malware basados en ejecutables binarios.
¿Qué medidas deben tomar los programadores tras este suceso?
Se aconseja desactivar la actualización automática de extensiones en entornos críticos, renovar todos los tokens de acceso y claves SSH almacenados en local, y auditar los registros de actividad recientes en busca de conexiones sospechosas.
