Por Canuto  

Microsoft retiró temporalmente decenas de proyectos de código abierto alojados en GitHub tras detectar una aparente intrusión que permitió inyectar malware para robar contraseñas y otras credenciales sensibles de desarrolladores de IA. El incidente, que afecta herramientas vinculadas con Azure, VS Code y entornos usados junto a Claude Code y Gemini CLI, vuelve a poner el foco sobre los ataques de cadena de suministro en software abierto.
***

  • Microsoft deshabilitó temporalmente algunos repositorios en GitHub mientras investiga contenido potencialmente malicioso.
  • Firmas de seguridad indicaron que el malware podía robar contraseñas y credenciales al abrir herramientas comprometidas en aplicaciones de codificación de IA.
  • Al menos 70 proyectos aparecían deshabilitados, en un episodio que podría estar relacionado con una nueva intrusión sobre Durable Task.

 

Microsoft suspendió el acceso a decenas de proyectos de código abierto alojados en GitHub mientras investiga una aparente intrusión que habría permitido a atacantes insertar malware destinado al robo de contraseñas. El caso impacta especialmente por el perfil de los repositorios afectados, muchos de ellos vinculados con Azure y con herramientas que desarrolladores utilizan en flujos de trabajo de inteligencia artificial.

Según reportó TechCrunch, varias de las herramientas comprometidas estaban siendo usadas en aplicaciones de desarrollo de IA como Claude Code, la interfaz de línea de comandos de Gemini y VS Code. La preocupación central es que el código malicioso no solo apuntaba a interrumpir servicios, sino a capturar credenciales y otra información sensible de quienes descargaran o abrieran esos recursos.

El episodio vuelve a subrayar un riesgo cada vez más serio dentro de la infraestructura de software moderna. Aunque el usuario final suele ver una aplicación terminada, detrás existe una cadena amplia de dependencias, librerías, repositorios y paquetes de código abierto. Cuando uno de esos eslabones es comprometido, el impacto puede propagarse a gran escala y alcanzar a perfiles altamente valiosos, como desarrolladores con acceso a sistemas en la nube y bases de datos de clientes.

Microsoft confirmó que tomó repositorios fuera de línea como medida de contención. Ben Hope, portavoz de la empresa, dijo a TechCrunch que la compañía “ha eliminado temporalmente algunos repositorios mientras investigamos contenido potencialmente malicioso”. También indicó que parte de esos proyectos ya fueron restaurados tras revisión, mientras otros seguirían deshabilitados mientras continúan las pesquisas.

Qué se sabe del hackeo y a quiénes pudo afectar

De acuerdo con la firma de seguridad Cloudsmith y el sitio comunitario de análisis OpenSourceMalware, el malware habría permitido a los atacantes robar contraseñas y otras credenciales sensibles cuando los usuarios abrían las herramientas comprometidas dentro de sus aplicaciones de codificación de IA. Por ahora, no se conoce con precisión cuántas personas descargaron esos proyectos antes de que fueran retirados.

Microsoft sostuvo que notificó a un pequeño número de clientes que podrían haber descargado contenido desde los repositorios afectados. Hope añadió que, si la investigación descubre nuevos elementos que requieran acción por parte de los usuarios, la empresa se comunicará directamente mediante sus canales habituales de soporte. Sin embargo, la compañía no entregó a TechCrunch una cifra específica de clientes potencialmente afectados.

Al intentar ingresar a varios de los proyectos, GitHub mostraba un aviso indicando que el acceso había sido deshabilitado por su personal debido a una violación de los términos de servicio. El dato más llamativo es la escala. Al menos 70 proyectos pertenecientes a Microsoft aparecían en ese estado, lo que sugiere un incidente más amplio que una alteración aislada en un único repositorio.

En términos operativos, este tipo de ataques genera una presión especial sobre empresas que dependen del ecosistema abierto para desarrollar herramientas comerciales y servicios en la nube. No solo se trata de retirar código y revisar historial de cambios. También es necesario verificar firmas, dependencias, sistemas de publicación y posibles credenciales filtradas, además de alertar a quienes pudieron haber incorporado versiones comprometidas en sus propios entornos.

Un nuevo ejemplo de ataque de cadena de suministro

El caso encaja dentro de lo que en ciberseguridad se conoce como ataque de cadena de suministro. Esta modalidad no se centra primero en el usuario final, sino en comprometer componentes de software ampliamente utilizados por terceros. La lógica es simple: si se infecta una herramienta popular, el acceso a víctimas se multiplica de manera silenciosa y eficiente.

En los últimos meses, este tipo de operaciones ha ganado visibilidad debido al creciente valor estratégico de los desarrolladores y administradores técnicos. Quien programa o despliega aplicaciones suele tener permisos elevados, acceso a nubes corporativas, secretos de autenticación y llaves que pueden abrir sistemas críticos. Por eso, insertar malware en herramientas pensadas para ese público puede resultar especialmente rentable para actores maliciosos.

El incidente también destaca porque no involucra a un pequeño proyecto mantenido por un desarrollador independiente, sino a Microsoft, una de las mayores empresas tecnológicas del mundo y propietaria de GitHub. Que una organización con recursos de seguridad tan amplios enfrente un evento de esta naturaleza refuerza la idea de que la superficie de ataque en el software abierto sigue siendo compleja incluso para gigantes del sector.

Los ataques contra mantenedores solitarios no son raros y, en algunos casos, incluyen esfuerzos prolongados para ganar la confianza del responsable del proyecto antes de introducir cambios maliciosos. Pero resulta mucho menos común que una firma del tamaño de Microsoft sufra una intrusión en múltiples proyectos de esta manera, lo que explica la atención que el caso ha despertado en la industria.

La posible conexión con Durable Task

El nuevo incidente se produce apenas semanas después de otro problema de seguridad que también afectó proyectos abiertos de Microsoft. Según recordó Ars Technica, a mediados de mayo investigadores de seguridad dijeron que Durable Task, un proyecto de código abierto de Microsoft orientado a ayudar a desarrolladores a crear aplicaciones, había sido hackeado.

OpenSourceMalware sostuvo que el evento más reciente sería una “re-compromisión” del proyecto Durable Task. Esa descripción abre dos posibilidades preocupantes. La primera es que la empresa no hubiera erradicado por completo la presencia del atacante durante la respuesta al episodio anterior. La segunda es que se trate de una nueva intrusión diferente, aunque relacionada con el mismo objetivo o superficie técnica.

Por ahora, Microsoft no ha confirmado públicamente cuál de esas hipótesis es la correcta. Aun así, el concepto de re-compromisión es relevante porque sugiere persistencia o recurrencia, dos factores que suelen elevar la gravedad de cualquier investigación. Si un atacante regresa a un mismo proyecto, eso puede apuntar a credenciales internas expuestas, procedimientos de remediación incompletos o debilidades en los controles de publicación y mantenimiento.

También importa el contexto funcional de Durable Task y de otras herramientas afectadas. Muchos de estos proyectos sirven de base para automatización, desarrollo cloud y tareas asociadas con servicios de IA. En un momento en que empresas y startups aceleran integraciones con asistentes de programación y modelos generativos, la seguridad de ese ecosistema pasa a ser un asunto estratégico, no un detalle técnico marginal.

Por qué este incidente importa más allá de Microsoft

Más allá del impacto inmediato, el caso ofrece una señal para todo el mercado tecnológico. La adopción acelerada de herramientas de IA está ampliando la dependencia sobre entornos de desarrollo complejos, plugins, asistentes de código y repositorios abiertos. Cada nuevo componente suma productividad, pero también multiplica el número de puntos que deben ser auditados y protegidos.

Para desarrolladores, empresas y equipos de seguridad, el incidente recuerda la importancia de validar procedencia, revisar hashes, limitar privilegios, rotar credenciales y monitorear comportamientos anómalos tras instalar o actualizar paquetes. Ninguna de esas medidas garantiza riesgo cero, pero sí reduce la posibilidad de que una intrusión en un repositorio termine convirtiéndose en una brecha más profunda dentro de infraestructura corporativa.

Por ahora, la información pública sigue siendo limitada en aspectos clave, como el número exacto de usuarios alcanzados o el mecanismo inicial de compromiso. Lo confirmado hasta el momento es que Microsoft retiró temporalmente repositorios, notificó a un pequeño grupo de clientes y mantiene una investigación activa. También está claro que al menos 70 proyectos aparecieron deshabilitados en GitHub durante la respuesta inicial.

En una industria que se apoya cada vez más en software abierto para mover servicios críticos, el episodio refuerza una conclusión incómoda. La velocidad de innovación, especialmente en IA y cloud, no elimina los viejos riesgos de seguridad. Al contrario, puede amplificarlos cuando herramientas muy adoptadas se convierten en vehículos silenciosos para robar credenciales y penetrar sistemas de alto valor.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados