En menos de diez días, tres empresas del ecosistema tecnológico global confirmaron brechas con el mismo perfil: un empleado comprometido a través de herramientas de desarrollo, acceso a repositorios internos y exfiltración de código. El origen se rastrea hasta una campaña de envenenamiento de paquetes que comenzó el 11 de mayo.
GitHub no establece vínculo explícito entre su brecha y la campaña TanStack, atribuye el ataque a una extensión maliciosa de VS Code, un vector distinto. Grafana Labs tampoco menciona a GitHub en su comunicado. Pero el patrón se repite con precisión: un empleado comprometido a través de una herramienta de desarrollo cotidiana, acceso posterior a repositorios internos, exfiltración de código y credenciales.
El miércoles 20 de mayo, GitHub confirmó los detalles de una brecha que había anunciado un día antes: un atacante accedió a repositorios internos de la plataforma a través del dispositivo de un empleado comprometido mediante una extensión maliciosa de Visual Studio Code. Pero la historia no comienza ahí.
Grafana Labs: código robado, rescate rechazado
El 16 de mayo, Grafana Labs confirmó que un grupo criminal había accedido a sus repositorios de GitHub y descargado su base de código completa. El ataque fue detectado el 11 de mayo, pero una revisión posterior reveló que un token que la empresa consideraba no comprometido sí lo estaba, lo que permitió al atacante acceder a los repositorios antes de ser contenido.
El grupo criminal emitió una demanda de rescate bajo amenaza de publicar el código. Grafana Labs decidió no pagar, alineándose con la posición formal del FBI de que pagar un rescate no garantiza seguridad y solo incentiva futuros ataques. La empresa notificó a las autoridades federales y confirmó que sus sistemas de producción y la plataforma Grafana Cloud no fueron afectados. Sin embargo, reconoció que los repositorios comprometidos incluían, además de código fuente, información operativa interna y contactos profesionales.
GitHub: extensión envenenada de VS Code, 3,800 repositorios exfiltrados
El martes 19 de mayo, GitHub publicó en su cuenta de X que estaba investigando un acceso no autorizado a sus repositorios internos. Al día siguiente entregó los detalles: el ataque se originó en el dispositivo de un empleado comprometido a través de una extensión maliciosa de Visual Studio Code.
«Eliminamos la versión maliciosa de la extensión, aislamos el punto final y comenzamos la respuesta al incidente de inmediato», indicó la empresa. GitHub confirmó que la actividad se limitó a la exfiltración de repositorios internos propios, descartando impacto en repositorios de clientes. Respecto a las afirmaciones del atacante sobre el robo de aproximadamente 3,800 repositorios, la empresa señaló que esa cifra es «direccionalmente consistente» con su investigación.
Como medida de contención, GitHub rotó secretos y credenciales críticas durante la noche, priorizando las de mayor impacto potencial, y prometió publicar un informe completo una vez concluida la investigación.
No es el primer incidente de seguridad que enfrenta la plataforma en lo que va del año. En marzo, GitHub reveló que entre septiembre de 2025 y enero de 2026 un bug en su plataforma de webhooks había expuesto involuntariamente secretos en cabeceras HTTP, accesibles para cualquier sistema receptor. Los tokens afectados, de ser capturados, habrían permitido a terceros forjar entregas falsas haciéndolas pasar por legítimas. Ese mismo mes, investigadores de Wiz divulgaron la vulnerabilidad CVE-2026-3854, una falla crítica que habría permitido a cualquier usuario autenticado ejecutar código arbitrario en la infraestructura de GitHub con un solo comando git push. GitHub parcheó GitHub.com en horas y confirmó que no hubo explotación antes del parche.
El origen: Mini Shai-Hulud y el ataque a TanStack
Para entender la magnitud de lo ocurrido esta semana hay que retroceder al 11 de mayo, cuando la campaña conocida como Mini Shai-Hulud comprometió paquetes de la librería TanStack en npm y del SDK de Mistral en PyPI, dos de los registros más usados para instalar dependencias en proyectos de JavaScript y Python respectivamente.
El ataque no dependió de paquetes falsos ni de nombres parecidos a los legítimos. El mecanismo fue más sofisticado: el atacante envenenó una caché de CI compartida a través de una solicitud de extracción desde una cuenta desechable, y cuando un flujo de trabajo legítimo restauró esa caché, extrajo el token de publicación de TanStack y lo usó para distribuir versiones maliciosas bajo la identidad real del proyecto. Las versiones comprometidas podían exfiltrar credenciales de nube, tokens de GitHub y llaves SSH de los sistemas donde se instalaran.
El alcance estimado varía según la fuente, pero múltiples reportes señalan entre 100 y 172 paquetes y cientos de versiones comprometidas. NHS England Digital publicó un aviso institucional sobre el incidente. Entre los proyectos mencionados aparecen TanStack, Mistral AI, OpenSearch y UiPath.
El 15 de mayo, OpenAI confirmó que dos dispositivos de empleados en su entorno corporativo fueron impactados por esa misma campaña. La empresa señaló que se exfiltró material limitado de credenciales desde repositorios internos a los que tenían acceso los empleados afectados, incluyendo certificados de firma para sus aplicaciones de iOS, macOS y Windows. Como medida de precaución, OpenAI está rotando esos certificados y pidió a usuarios de macOS actualizar sus aplicaciones antes del 12 de junio de 2026.
Un patrón, no incidentes aislados
GitHub no establece vínculo explícito entre su brecha y la campaña TanStack atribuye el ataque a una extensión maliciosa de VS Code, un vector distinto. Grafana Labs tampoco menciona a GitHub en su comunicado. Pero el patrón se repite con precisión: un empleado comprometido a través de una herramienta de desarrollo cotidiana, acceso posterior a repositorios internos, exfiltración de código y credenciales.
En menos de diez días, al menos tres empresas relevantes del ecosistema tecnológico global confirmaron incidentes con ese mismo perfil. La cadena de suministro del software no es el telón de fondo de estos ataques. Es el objetivo.
