Un grupo de hackers está envenenando el código abierto a una escala sin precedentes

Los ataques a la cadena de suministro de software, en los que los cibercriminales contaminan un programa legítimo para introducir su propio código malicioso, solían ser casos aislados que generaban gran temor por su capacidad de convertir cualquier aplicación inocente en un punto de entrada a la red de la víctima. Ahora, un grupo de hackers ha convertido esa amenaza esporádica en una rutina casi semanal, comprometiendo cientos de herramientas de código abierto, extorsionando a sus víctimas y sembrando una profunda desconfianza en todo el ecosistema que sustenta gran parte del software mundial.

GitHub, la principal plataforma de código abierto, confirmó haber sido víctima de un ataque a su cadena de suministro. Un desarrollador instaló una extensión maliciosa para VS Code, el editor de código de Microsoft, lo que permitió al grupo, conocido como TeamPCP, acceder a aproximadamente 4 000 repositorios. La compañía informó que al menos 3 800 repositorios fueron comprometidos, aunque hasta el momento sólo contenían código propio de GitHub y no de sus clientes.

Cómo opera TeamPCP

Según la empresa de ciberseguridad Socket, especializada en ataques a la cadena de suministro, TeamPCP ha llevado a cabo, en los últimos meses, 20 oleadas de ataques que han insertado malware en más de 500 programas diferentes, o más de mil si se contabilizan todas sus versiones. Ben Re, responsable de inteligencia estratégica de amenazas en la empresa de seguridad en la nube Wiz, explicó que esos fragmentos de código infectado han permitido al grupo infiltrarse en cientos de organizaciones que instalaron el software comprometido.

GitHub es la última víctima de una larga lista que incluye a OpenAI y a la empresa de gestión de datos Mercor. Re subrayó que, aunque cada ataque es significativo, ninguno difiere sustancialmente de las catorce filtraciones anteriores del grupo.

La táctica principal de TeamPCP consiste en explotar de forma cíclica a desarrolladores de software. Los hackers se introducen en una red donde se está desarrollando una herramienta de código abierto ampliamente utilizada—por ejemplo, la extensión de VS Code que desencadenó la filtración de GitHub o la librería de visualización de datos AntV comprometida a principios de semana—, insertan malware en ella y, de esta forma, logran que el código malicioso llegue a las máquinas de otros desarrolladores, incluidos aquellos que crean herramientas para programadores.

El malware también permite robar credenciales que facilitan la publicación de versiones maliciosas de esas mismas herramientas, creando un ciclo autoperpetuado que amplía la red de sistemas infectados. “Es una rueda volante de compromisos de la cadena de suministro. Se auto‑sostiene y ha demostrado ser muy eficaz para acceder a redes y robar información”, explicó Re.

Recientemente, el grupo ha automatizado gran parte de sus ataques mediante un gusano autopropagante llamado Mini Shai‑Hulud. El gusano crea repositorios en GitHub que contienen credenciales robadas y el mensaje “Ha aparecido un Mini Shai‑Hulud”, una referencia a la novela de ciencia ficción *Dune*. La denominación también evoca a un gusano anterior, conocido como Shai‑Hulud, que apareció en septiembre, aunque no hay pruebas de que TeamPCP fuera responsable de ese malware.

Philipp Burckhardt, investigador principal de Socket, señaló que el grupo busca notoriedad y disfruta alardeando de sus ataques. En la dark web, TeamPCP mantiene un sitio con un diseño inspirado en “Matrix”, música reggae fusion y el lema “TEAMPCP: Los gatos secuestrando tus cadenas de suministro”.

Antes de enfocarse en la cadena de suministro, TeamPCP surgió a finales de 2025 explotando configuraciones erróneas en la nube y una vulnerabilidad en el framework Next.js. Con esas brechas, construyó una botnet utilizada para robar credenciales y minar criptomonedas. Con el tiempo, empezó a emplear gusanos para obtener tokens de autenticación que le permitieron profundizar en los sistemas de sus víctimas.

“Se ha propagado como la pólvora; encuentran credenciales y tokens de acceso personal. La cuestión es hasta dónde puede llegar una sola credencial”, afirmó Nathaniel Quist, gerente del equipo de inteligencia de Cortex Cloud en Palo Alto Networks.

TeamPCP parece motivado principalmente por el lucro. Sus campañas combinan ransomware, extorsión de datos y venta de información robada. En el caso de GitHub, el grupo publicó en BreachForums un mensaje que aseguraba que no buscaba rescate, sino un comprador dispuesto a pagar por el código fuente comprometido. Añadió una amenaza velada, diciendo que, si no encontraban un comprador, “lo dejarían pasar gratis”.

Desde abril, el grupo adoptó un modelo de ransomware‑as‑a‑service, estableciendo alianzas con plataformas de ciberdelincuencia como BreachForums y DragonForce. Además, ha lanzado un programa de destrucción geográficamente dirigido, denominado CanisterWorm por los investigadores, que atacó infraestructuras de Kubernetes, enfocándose principalmente en objetivos iraníes.

En marzo, la escala de los ataques se amplió al comprometer el escáner de seguridad de código abierto Trivy, la librería de IA LiteLLM alojada en PyPI, la empresa de seguridad de aplicaciones web Checkmarx, el servidor de desarrollo pgserve y la biblioteca TanStack, así como la plataforma de IA empresarial Mistral AI.

Los impactos son cada vez más graves. Además de GitHub, los ataques de TeamPCP han provocado filtraciones en el sitio web de la Comisión Europea, en Mercor y en dos cuentas de empleados de OpenAI, entre otros incidentes. Quist enfatiza que, aunque no se puede eliminar el riesgo por completo, las organizaciones pueden mitigarlo adoptando buenas prácticas de gestión de credenciales, rotando tokens de acceso y restringiendo los permisos siempre que sea posible.

“La principal ventaja que está permitiendo el éxito de esta operación son las credenciales de larga duración en entornos de desarrollo”, advirtió. Recomienda cambiar de inmediato los tokens de acceso personal de GitHub, GitLab, AWS, Azure, GCP, Alibaba y Oracle, aunque no se haya usado directamente la herramienta comprometida.

Las oleadas de código infectado plantean preguntas cruciales sobre el uso seguro del software de código abierto en una era de ataques a la cadena de suministro. Ben Re, de Wiz, sugiere restringir la instalación de actualizaciones de herramientas de código abierto basándose en su antigüedad, verificando la seguridad antes de aceptar versiones recién publicadas. En una reciente incidencia, Wiz detectó la vulnerabilidad y alertó a sus clientes en minutos, pero muchos usuarios con actualizaciones automáticas ya habían descargado el código malicioso.

“No conviene instalar siempre la versión más reciente sin antes validar su integridad”, comentó Re. Philipp Burckhardt, de Socket, añade que los usuarios de código abierto deben combinar confianza con verificación, analizando las actualizaciones en busca de malware y aplicando un periodo de reflexión antes de ejecutar nuevo código. “Cuando el malware llega a tu computadora, ya es demasiado tarde”, concluyó.

Mira tambien: