GitHub confirma la exfiltración de 3.800 repositorios internos tras una extensión maliciosa de VS Code

GitHub confirmó una intrusión iniciada en el equipo de un empleado tras instalar una extensión maliciosa de Visual Studio Code, que derivó en la exfiltración de unos 3.800 repositorios internos. La compañía retiró la versión maliciosa, aisló el dispositivo y rotó credenciales críticas, mientras continúa la investigación.

El incidente vuelve a poner el foco en un punto débil recurrente en la seguridad del desarrollo: el endpoint del desarrollador. Aunque muchas organizaciones concentran controles en el perímetro, en CI/CD o en el propio repositorio, una simple instalación en el editor puede abrir la puerta a robo de credenciales, acceso a código y movimiento lateral. En este caso, el vector inicial fue una extensión de Visual Studio Code manipulada con fines maliciosos instalada en el equipo de un empleado.

Tras el compromiso del dispositivo, se produjo la exfiltración de aproximadamente 3.800 repositorios internos de GitHub. GitHub aseguró que no hay evidencias de impacto en datos de clientes fuera del conjunto de repositorios afectados, un matiz importante porque este tipo de fuga suele mezclar código, documentación, scripts de despliegue y, en el peor de los casos, secretos incrustados por error. Como parte de la respuesta, la empresa retiró del VS Code Marketplace la versión maliciosa de la extensión, aisló el endpoint comprometido y rotó credenciales críticas el mismo día, priorizando los secretos más sensibles.

La atribución pública está en evolución. El actor TeamPCP reivindicó el acceso y llegó a ofrecer los datos presuntamente robados por un mínimo de 50.000 dólares, acompañando la presión con amenazas de filtración gratuita si no aparecía comprador. A falta de verificación independiente completa, el episodio encaja con una serie de campañas atribuidas a TeamPCP desde marzo de 2026, orientadas a ecosistemas de desarrollo y a compromisos de cadena de suministro, donde la rapidez es parte de la ventaja del atacante. En incidentes recientes, la ventana de exposición puede ser de minutos: un ejemplo citado en el sector es la retirada de una versión con backdoor de una extensión popular, Nx Console, en cuestión de decenas de minutos, lo que ilustra que confiar solo en reacciones del marketplace no basta para entornos corporativos.

Los análisis técnicos publicados en torno a esta oleada describen técnicas de persistencia especialmente preocupantes para equipos que clonan repositorios con frecuencia. Se ha observado un patrón denominado Mini Shai Hulud, descrito como un gusano de cadena de suministro capaz de persistir mediante modificaciones en ficheros de configuración del propio entorno de desarrollo. Entre las señales a vigilar destacan inyecciones en .vscode/tasks.json con disparadores como folderOpen, y cambios en el directorio .claude, por ejemplo .claude/settings.json o ficheros inesperados como .claude/setup.mjs, con disparadores tipo SessionStart. El riesgo práctico es la reinfección: basta con volver a clonar un repositorio contaminado y abrirlo para reactivar tareas o flujos que descarguen y ejecuten carga maliciosa.

En la misma cadena técnica se han descrito abusos de scripts de instalación en npm, como preinstall o postinstall, junto con la descarga y ejecución del runtime Bun como bootstrap del payload. Para investigación y hunting, se ha propuesto buscar en historiales de commits el indicador IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner, que se ha usado como marca de infección en casos relacionados. También conviene añadir detecciones en EDR y SIEM para ejecuciones de bun iniciadas tras npm install o por procesos de VS Code, además de patrones de conexiones a objects.githubusercontent.com asociadas a instalaciones, cuando se utilicen como mecanismo de descarga.

El impacto potencial no se limita a la fuga de código. En campañas atribuidas a TeamPCP se han documentado técnicas contra GitHub Actions, incluyendo el envenenamiento de versiones mediante force push que repunta múltiples tags hacia commits maliciosos. Este enfoque puede permitir el robo de secretos en runners y, en escenarios avanzados, intentos de lectura de memoria del proceso Runner.Worker. Además, se han observado canales de exfiltración y mando y control mediante dominios typosquat y, de forma oportunista, el uso de GitHub como canal alternativo, por ejemplo creando repositorios públicos para volcado cifrado o utilizando patrones de búsqueda de commits como dead drop.

En términos defensivos, la lección principal es tratar las extensiones del IDE como software con capacidad equivalente a un agente privilegiado. Es recomendable restringir la instalación de extensiones en VS Code mediante políticas corporativas, allowlists y bloqueo de orígenes no autorizados, y mantener un inventario auditado de extensiones instaladas en los equipos de desarrollo. También se recomienda no basarse en ficheros de recomendación del repositorio como mecanismo de control y aplicar controles a nivel de máquina mediante MDM o políticas gestionadas.

En paralelo, debe asumirse que cualquier repositorio interno puede contener credenciales expuestas por error o accesos útiles para pivotar. Por eso, conviene rotar tokens y secretos que pudieran existir en repositorios, automatizaciones y sistemas de build, incluyendo PATs, credenciales de CI, secretos de GitHub Actions y tokens de GitHub Apps. Tras la rotación, es clave revisar registros y telemetría para detectar abuso posterior, accesos anómalos, clonados masivos y operaciones fuera de patrón. Para minimizar el radio de explosión, aplicar mínimo privilegio a cuentas de desarrollador y permisos a repositorios reduce lo que un atacante puede extraer desde un único endpoint comprometido.

Como medida preventiva adicional, es útil imponer un periodo de enfriamiento para nuevas versiones de extensiones y dependencias, por ejemplo 24 a 72 horas, antes de permitir su instalación o actualización en equipos y en CI, y endurecer la cadena de dependencias en npm con lockfiles, npm ci y, cuando sea viable, desactivar scripts de ciclo de vida con ignore-scripts en CI. En entornos maduros, limitar el acceso directo de equipos y runners a registros públicos y enrutar descargas a través de un proxy o registro privado con control de egress reduce la superficie. Finalmente, conviene monitorizar señales de exfiltración encubierta, como creación inesperada de repositorios públicos o commits con patrones anómalos, porque la salida de datos no siempre ocurre por canales tradicionales.

GitHub ha indicado que publicará un informe más completo cuando termine la investigación. Mientras tanto, el caso sirve como recordatorio de que la cadena de suministro no empieza en el repositorio, empieza en el editor, en el gestor de paquetes y en cada actualización que un desarrollador instala para trabajar más rápido.

Más información

• BleepingComputer – GitHub confirms breach of 3,800 repos via malicious VSCode extension : https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/amp/
• The Record (Recorded Future News) – GitHub confirms being hacked by TeamPCP, says customer data unaffected : https://therecord.media/github-confirms-teampcp-hack-customers-unaffected
• Aikido Security (blog) – GitHub breached via a malicious VS Code extension: why developer devices are the real target : https://www.aikido.dev/blog/github-breached-vs-code-extension
• Hive Security (blog) – One Extension, 3,800 Repos: Inside TeamPCP’s GitHub Breach : https://hivesecurity.gitlab.io/blog/github-breach-vscode-extension-teampcp-2026/
• Phoenix Security (blog) – TeamPCP’s Five-Day Siege: How One Stolen Token Cascaded Across GitHub Actions, Checkmarx, VS Code Extensions, and npm : https://phoenix.security/teampcp-supply-chain-attack-trivy-checkmarx-github-actions-npm-canisterworm/
• Unit 42, Palo Alto Networks (research) – The npm Threat Landscape: Attack Surface and Mitigations (Updated May 1) : https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/?_wpnonce=e85efdbd7a&lg=en&pdf=print

La entrada GitHub confirma la exfiltración de 3.800 repositorios internos tras una extensión maliciosa de VS Code se publicó primero en Una Al Día.

---

☞ El artículo completo original de Hispasec lo puedes ver aquí

La Tierra tiene un compañero de viaje desde hace millones de años y no sabemos de dónde salió, pero hay una nave preparada para darnos respuestas

La Tierra no viaja sola alrededor del Sol. Y no solo por la Luna, que lógicamente la acompaña siempre, orbitando a su alrededor. También tiene varios compañeros de viaje: unos objetos, llamados coorbitales, que tardan exactamente lo mismo que nuestro planeta en dar una vuelta completa alrededor del astro rey. Estos objetos son bien conocidos, pero su origen es bastante misterioso. 

Hay astrónomos que apuestan por que escaparon del cinturón de asteroides. Sin embargo, su contenido en silicatos apunta a que podrían ser fragmentos de la Luna que saltaron de su superficie tras el impacto de un meteorito. Ahora, un equipo de científicos ha asignado probabilidades a cada opción, aunque para la prueba definitiva de su origen tendremos que esperar aún un poco.

(469219) Kamo'oalewa. Así se llama uno de los coorbitales más conocidos de la Tierra. Mide entre 24 y 107 metros de diámetro y los análisis espectrales que se han podido realizar con telescopios como el el Large Binocular Telescope (LBT) y el Lowell Discovery Telescope (LDT)  indican que es muy rico en silicatos, de modo que es probable que proceda de la Luna. De hecho, la hipótesis más aceptada hasta el momento señala que pudo formarse durante el impacto que dio lugar al cráter Giordano Bruno de nuestro satélite. Sin embargo, este nuevo estudio, publicado en la revista Icarus, apunta a que es más probable que se trate de un asteroide fugado del cinturón que hay entre Marte y Júpiter. 

En Xataka

Una filtración ha dejado al descubierto el plan de China para pisar la Luna: su distancia con la NASA se está estrechando

Muy improbable. Para que un asteroide o un trozo de la Luna se puedan convertir en coorbitales no solo deben escapar de su lugar. También deben tener suficiente energía para ubicarse en lo que se conoce como órbita cuasi-satelital. Esto, para un cuerpo del tamaño de Kamo’oalewa, es altamente poco probable. 

¿Cuasi-qué? Un cuasi-satélite tiene ciertos parecidos con un satélite, pero no es lo mismo. Cuando miramos uno de ellos desde el planeta al que acompaña, en dirección hacia el Sol, parece que está en órbita alrededor del planeta, pero en realidad gira al propio Sol. Esto, entre otros motivos, se debe a que está fuera de la esfera de Hill del planeta. Es decir, el entorno dominado por la gravedad del mismo. Al estar fuera de dicha órbita, le influye la gravedad del planeta, pero sobre todo, en este caso, le influye la del Sol. Sea como sea, caer y mantenerse en esa órbita es complicado, como ya hemos visto y, sobre todo, como han demostrado estos científicos.

Gana la opción del asteroide. Estos científicos han realizado modelos en los que se simula la trayectoria de 12.000 partículas sintéticas lanzadas desde la superficie lunar a diferentes velocidades y ángulos, siguiendo sus órbitas durante millones de años. El objetivo era ver cuántas se estabilizaban en puntos coorbitales con la Tierra.  En total encontraron 70 objetos de diámetro superior a 10 metros capaces de hacerlo. ¡70 de 12.000! Ahora bien, cuando repitieron el procedimiento cambiando partículas lunares por objetos del cinturón de asteroides, dieron con más candidatos. 1.600 en total.

Tianwen-2 devolverá las muestras para dar respuesta al misterio en 2027

La clave la tendrá Tianwen-2. El origen de los coorbitales es tan intrigante que China ya ha mandado una nave a analizar la superficie de uno de ellos. Concretamente del propio Kamo’oalewa. La misión Tianwen-2 partió en mayo de 2025 hacia este objeto, con el objetivo de recoger al menos 100 gramos de muestras y devolverlas a la Tierra para su análisis. 

Ya se sabe que hay silicatos, o al menos se sospecha, pero se necesita tener una idea más profunda de la composición para comprender cuál es el origen de este objeto. Se espera que la inserción en la órbita se produzca el próximo mes de junio si todo va bien. Después pasará unos meses recolectando muestras para introducirlas en una cápsula, que aterrizará de vuelta en la Tierra ya en 2027. 

Dos opciones. Si los análisis de Tianwen-2 concluyen que Kamo’oalewa procede de la Luna, habría que replantearse la mecánica de impacto lunar, ya que sería muy raro que uno de esos fragmentos hubiese podido llegar a su ubicación final con lo que sabemos hasta ahora. En cambio, si se demuestra que procede de un asteroide, habría que estudiar de dónde proceden esos silicatos, pues son muy poco convencionales en un objeto de estas características. Se concluya lo que se concluya, va a haber mucha tela que cortar, eso está claro. ç

Imagen | NASA |Servicio de Noticias de China

En Xataka | La Tierra tiene lunas que no conocemos: explorarlas es clave para revelar los secretos de nuestro sistema solar

-
La noticia La Tierra tiene un compañero de viaje desde hace millones de años y no sabemos de dónde salió, pero hay una nave preparada para darnos respuestas fue publicada originalmente en Xataka por Azucena Martín .

---

☞ El artículo completo original de Azucena Martín lo puedes ver aquí

Si la pregunta es si los centros de datos de IA acaban incrementando las temperaturas en una región, la respuesta es: 2,2 ºC

Un grupo de investigadores de la Universidad de Arizona State han publicado un estudio llamativo. Han querido estimar cuál es el impacto de los centros de datos de IA en las temperaturas medias de la región en la que se instalan. Su conclusión es inquietante,  porque ese aumento puede ser de hasta 2,2 ºC.

El uso masivo de la IA plantea otro problema. Hay un debate ya claro sobre el consumo de agua y energía de los centros de datos de IA, pero este estudio ha puesto el foco en un problema igualmente importante: la contaminación térmica. 

Hace calor. Los investigadores se centraron en el área metropolitana de Phoenix, la más calurosa de todo EEUU. Allí sus análisis indicaron que los centros de datos expulsan aire de sus sistemas de refrigeracion a temperaturas que son entre 14 y 25 grados Farenheit por encima de la temperatura ambiente, creando térmicas que pueden afectar a los vecindarios cercanos.

En Xataka

España tiene un plan para captar más centros de datos que nadie: "blindarles" ante los costes de la energía

El aire lo dice todo. Esta es la primera investigación conocida que utiliza sensores de alta precisión montados en vehículos con los que se comparó la temperatura del aire antes y después de pasar por las instalaciones. Los datos fueron claros: las zonas a favor del viento de un centro de datos registraban temperaturas medias 1,6 ºF más altas, con picos de 4 ºF (2,2 ºC) respecto a las zonas de referencia. 

Efecto "isla de calor". El impacto de ese aumento de temperatura es además notable en cuanto a distancia afectada: se detectaron dichos incrementos incluso a 500 metros de distancia de la fuente, lo que equivale a unas cinco "manzanas" de viviendas en la ciudad de Phoenix.

Círculo vicioso. El propio diseño de los centros de datos hace que este problema se retroalimente. Un solo centro de datos puede generar tanto calor residual como una pequeña ciudad de 40.000 hogares, y el ciclo vicioso es claro: 

1. El centro de datos expulsa aire muy caliente para enfriar sus servidores
2. El aire calienta el vecindario  circundante
3. Los vecinos usan más sus aparatos de aire acondicionado
4. Los aparatos de aire acondicionado expulsan aún más calor residual

La ubicación es la clave. David Sailor, que lideró el estudio, indicó que lo que buscan con sus conclusiones no es prohibir los centros de datos, sino replantear su integración con los núcleos urbanos. Para evitar o mitigar los problemas se proponen soluciones como la reorientación de las salidas de aire o la creación de parques que amortiguen esos aumentos de temperatura. La clave, aseguran estos investigadores, es la planificación urbana: deben tratarse estas instalaciones como fuentes de emisiones térmicas industriales, porque es lo que son.

Prevenir antes que curar. La capacidad de cómputo proyectada para los centros de datos que se construirán en EEUU se duplicará en 2030, lo que hace que según este estudio sea necesario tomar medidas. El reto, dicen, es lograr aplicar estas soluciones antes de que ese calor residual generado por los centros de datos se convierta en un problema de salud pública. 

España también puede tener ese problema. Los proyectos que afectan a nuestro país también deberían tener en cuenta esta circunstancia. En los últimos meses hemos visto como la Comunidad Autónoma de Aragón ha centrado parte del protagonismo de los acuerdos con grandes tecnológicas, y tanto Amazon como Microsoft tienen centros de datos proyectados en el área metropolitana de la ciudad de Zaragoza. Las localidades de Villamayor de Gállego y Villanueva de Gállego, están a menos de 20 km de Zaragoza, y ambas ya tienen proyectados centros de datos. Dichas iniciativas prometen impulsar la economía de la región, pero también traen dudas consigo. No todo el mundo está a favor de dichos centros, desde luego, y hay incluso procesos judiciales intentando detener su construcción. 

Imagen | David Vives y AWS

En Xataka | La gran paradoja de Madrid: la región con el mayor déficit energético de España se está quedando los centros de datos

-
La noticia Si la pregunta es si los centros de datos de IA acaban incrementando las temperaturas en una región, la respuesta es: 2,2 ºC fue publicada originalmente en Xataka por Javier Pastor .

---

☞ El artículo completo original de Javier Pastor lo puedes ver aquí

La Web versión 0.0: cuando aquí no había ni gatos ni «influencers»

Hubo un tiempo, antes de Google, las redes sociales y ChatGPT… en que la web era un experimento extraño lleno de ideas que pudieron ser y no fueron. Relatar cómo surgió y cómo se construyó es un proyecto al que Jay Hoffmann le ha dedicado tiempo a modo de proyecto personal. El resultado es The History of the Web, una cronología que de momento abarca entre 1988 y 2017, y que permite apreciar su evolución y curiosidades.

La cronología se puede ir recorriendo en una sola página siguiendo los enlaces, o suscribiéndose al boletín quincenal, que va acumulándose en forma de archivo de artículos sobre tecnologías, personajes y momentos clave de la web. Hay ya 102 artículos en total. Además de esto también hay una sección llamada Vague, But Exciting (la famosa frase del jefe de Tim Berners-Lee), una especie de libro en desarrollo dividido en capítulos temáticos: navegadores, buscadores, diseño web, estándares, CSS o las guerras de los navegadores.

La historia temprana de la web fue toda una sucesión de inventos y caminos alternativos que casi cambian Internet por completo. Comenzó en 1989 con la propuesta de Tim Berners-Lee en el CERN y siguió con el HTML, el protocolo HTTP y los primeros navegadores web. Poco después llegarían Mosaic y Netscape, y pronto surgieron sitios como Yahoo, Amazon, eBay… Con el cambio de siglo surgieron empresas y proyectos gigantescos como Google (1998) o Wikipedia (2001).

Por el camino surgieron algunas cosas que hoy en día son cotidianas, como el primer banner publicitario, el favicon, los webblogs o los primeros cibercafés. Viendo toda la cronología queda claro que la web no nació siguiendo un «plan maestro» fue más bien una colección de experimentos, ocurrencias y decisiones improvisadas que acabaron funcionando. Pero está bien así, aunque ande un poco amenazada hoy en día.

Relacionados:

• La historia de Internet en 32 sitios web
• Lo que viene a continuación es el futuro: un documental sobre la WWW
• DejaVu.org: experimentando la historia de la World Wide Web
• Historia de los Buscadores (1993-2006)
• La historia del primer cibercafé
• We Are the Web: Internet hace diez años

# Enlace Permanente

---

☞ El artículo completo original de alvy@microsiervos.com (Alvy) lo puedes ver aquí

Starlink lleva años arruinando las noches de los astrónomos. Ahora resulta que sus lanzamientos están dejando huella en el clima

Se ha hablado mucho sobre la gran contaminación lumínica que generan los satélites Starlink de SpaceX. Sin embargo, no se ha hablado tanto de algo que, si lo pensamos, es mucho más evidente. La contaminación atmosférica derivada de los lanzamientos. Cualquier lanzamiento espacial, en realidad, puede generar este tipo de contaminación. Sin embargo, los trenes de satélites requieren de tal cantidad de lanzamientos que no es raro que, hoy por hoy, preocupen especialmente a los científicos.

15.000 satélites y subiendo. Un equipo de científicos británicos y estadounidenses ha llevado a cabo recientemente un estudio con el que se saca a la palestra este problema y se predicen cuáles pueden ser los efectos en el corto plazo. En dicha investigación se señala que actualmente hay alrededor de 15.000 satélites de telecomunicaciones en órbita, más de 10.000 de los cuales pertenecen a SpaceX. Esto supone el triple de satélites que en 2020 y lo peor es que la cifra no deja de aumentar. 

En Xataka

Miden 85 metros, no tienen anclas y están conectados a Starlink: los gigantescos "Roombas" marinos que quieren salvar a la IA del apagón

Como consecuencia, según las simulaciones de estos investigadores, para 2029, estos satélites podrían suponer el 40% de la contaminación atmosférica derivada de la actividad espacial. También han calculado que para entonces este sector estará liberando anualmente a la atmósfera alrededor de 870 toneladas de hollín. Sería más o menos la misma cantidad que liberan todos los coches de Reino Unido, por lo que hay que tomar medidas cuanto antes. 

Problemas en el lanzamiento y la reentrada. Los dos puntos clave en los que estos trenes de satélites pondrán contra las cuerdas el clima de nuestro planeta son el lanzamiento y la reentrada. Con el primero, se libera una gran cantidad de carbono negro. Estas son partículas finas de carbono que proceden de la combustión incompleta de combustibles fósiles. En cuanto a la reentrada, libera principalmente óxidos de aluminio. Los satélites deben cambiarse cada 5 años. Después, cuando las condiciones orbitales son propicias, se puede producir esa reentrada, cuyo precio para el planeta también es muy caro. 

Los efectos. El carbono negro es perjudicial para el clima terrestre a dos niveles. Por un lado, las partículas que lo componen tienen una gran capacidad para retener el calor del Sol. Es por eso que tienen un papel muy importante en el calentamiento global de nuestro planeta. Por otro lado, pueden afectar a la formación de nubes de dos formas distintas. A veces impiden su formación, provocando sequías, y en otras ocasiones desencadenan precipitaciones extremas. Con respecto a los óxidos de aluminio, pueden deteriorar la capa de ozono, con todos los efectos perjudiciales que esto supone.

El lugar importa. El principal problema de la liberación de estas sustancias contaminantes es que se produce en las capas más altas de la atmósfera. La contaminación a esta altura, si no existiera la actividad espacial, sería residual. Sin embargo, los lanzamientos depositan ahí ese carbono negro, que se mantiene durante 2 a 3 años, reteniendo calor y afectando a las nubes. Es por eso que se calcula que el carbono negro derivado de la actividad espacial tiene un efecto sobre el clima mucho mayor que el de los barcos, los coches o las centrales eléctricas, por ejemplo.

Lo que está por llegar es muy peligroso. Se dice que Elon Musk quiere lanzar un millón de satélites al espacio. Esta, posiblemente, sea una cifra exagerada. Pero sí que está claro que SpaceX tiene fijados objetivos descomunales. De hecho, ya está incluso buscando plataformas de lanzamiento fuera de Estados Unidos, pues en su país natal no da abasto para tanta ambición. A todo esto hay que sumar que otras empresas tienen objetivos cada vez más ambiciosos con sus propios trenes de satélites. Es, por ejemplo, el caso de Amazon con Leo. 

La situación puede llegar a ser muy preocupante si no se buscan alternativas, como combustibles menos contaminantes para los lanzamientos o satélites más duraderos, que requieran menos reentradas. Probablemente la ciencia nos lleve hasta ahí en algún momento; pero, mientras tanto, las consecuencias para el planeta serán cada vez peores. Estamos a tiempo de solucionarlo, pero hay que actuar ya. 

Imágenes | Gwendolyn Kurzen

En Xataka | En 2018, Elon Musk puso su propio coche en órbita. Ocho años después sigue dando vueltas a la Tierra

-
La noticia Starlink lleva años arruinando las noches de los astrónomos. Ahora resulta que sus lanzamientos están dejando huella en el clima fue publicada originalmente en Xataka por Azucena Martín .

---

☞ El artículo completo original de Azucena Martín lo puedes ver aquí