- La plataforma de desarrollo de código abierto GitHub, propiedad de Microsoft (MSFT:US), confirmó que su repositorio de código interno sufrió un acceso no autorizado. La investigación reveló que un dispositivo terminal de un empleado fue comprometido debido a una extensión de Visual Studio Code (VS Code) con software malicioso, lo que provocó la filtración de datos internos.
- Según el análisis del foro de ciberdelincuencia y la firma de seguridad SlowMist, los hackers supuestamente utilizaron el modelo de seguridad AI Mythos de la empresa de inteligencia artificial Anthropic para lograr una infiltración precisa, robando entre 3800 y 4000 repositorios internos clave, que incluyen el código fuente del asistente de código AI GitHub Copilot, el algoritmo CodeQL, el runtime de Actions y el sistema de facturación.
- GitHub ha completado el aislamiento de los terminales afectados y la eliminación de las extensiones maliciosas, priorizando la rotación de credenciales críticas y la auditoría de registros. Un informe completo de respuesta al incidente aún está en proceso de análisis y redacción, mientras la plataforma monitorea de cerca el riesgo potencial de ataques secundarios.
Infiltración dirigida a activos centrales de la cadena de suministro terminal
El punto de inicio de este incidente de seguridad se encuentra en el mercado de extensiones del entorno de desarrollo integrado, utilizado frecuentemente por los desarrolladores. Esto demuestra la eficacia de los ataques dirigidos a la cadena de suministro. Los hackers contaminaron las extensiones de VS Code, eludiendo las defensas tradicionales de la red y ejecutando código malicioso directamente en los terminales de los empleados. Dado que estos terminales tienen acceso a los repositorios de código central, se produjo una fuga de activos sensibles. Los sectores de terminales de transacciones y seguridad de la red reaccionaron rápidamente al incidente, y el mercado está evaluando el grado de erosión de las barreras comerciales de GitHub debido a la filtración de propiedad intelectual clave. Si los activos centrales son objeto de ingeniería inversa por parte de competidores o grupos maliciosos, su prima tecnológica a largo plazo podría enfrentar una reducción sistémica.
Reversión técnica de herramientas de seguridad AI hacia ataques de hackers
Según el análisis cruzado del director de seguridad de la información de SlowMist, la precisión mostrada por los hackers en este ataque depende en gran medida de las herramientas avanzadas de inteligencia artificial. El modelo de seguridad AI Mythos de Anthropic, originalmente utilizado para escaneo de vulnerabilidades y auditoría de código en el lado defensivo, se transformó en manos de los hackers en un arma asimétrica para generar automáticamente cargas de ataque altamente encubiertas y detectar vulnerabilidades en las defensas de la red interna. Esta reversión técnica indica que, aunque los modelos AI reducen la barrera para el crimen cibernético, también están aumentando significativamente la tasa de éxito de la penetración en los activos centrales de los gigantes tecnológicos. Este cambio marginal está generando dudas en el mercado primario sobre la efectividad de los modelos de defensa de ciberseguridad.
Cobertura de riesgo a corto plazo bajo el mecanismo de rotación de credenciales
Al confirmar la filtración de datos, el mecanismo de respuesta de GitHub se centró en la rotación urgente de credenciales críticas. La intención macro de esta operación es cortar rápidamente la validez de claves codificadas, tokens de API y credenciales de acceso a bases de datos que podrían estar contenidas en el código fuente filtrado, evitando así que los hackers utilicen los repositorios conocidos para una segunda infiltración en el entorno de producción. Sin embargo, dado que los repositorios filtrados incluyen el sistema de facturación y el runtime de Actions, que son negocios centrales subyacentes, verificar completamente la efectividad de la rotación de credenciales y limpiar los posibles programas de puerta trasera requiere un cierto ciclo de cálculo. Durante este período, la estabilidad y los indicadores de cumplimiento de sus servicios en la nube pueden seguir bajo presión.
Mapeo de riesgo de liquidez en la infraestructura subyacente de gigantes tecnológicos
Dado que el código robado incluye el runtime de Actions, que es una infraestructura fundamental que respalda a la comunidad de código abierto global y la integración y entrega continua (CI/CD) a nivel empresarial, el riesgo sistémico de toda la cadena de suministro de software está acumulándose rápidamente. La filtración del código fuente de Copilot implica que la ventaja absoluta de Microsoft en el campo de la programación asistida por AI enfrenta un riesgo potencial de erosión, mientras que la filtración del sistema de facturación podría ser utilizada para explotar vulnerabilidades comerciales o cometer fraudes financieros. A medida que se revelen más registros técnicos, si se confirma que el entorno de producción ha sido alterado sustancialmente, podría provocar una reevaluación de la seguridad del ecosistema en la nube de Microsoft por parte de los clientes empresariales, lo que a su vez podría tener un impacto negativo en la valoración de la empresa matriz en el mercado público.
