{"id":925,"date":"2026-05-20T05:21:03","date_gmt":"2026-05-20T05:21:03","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/20\/el-equipo-de-investigacion-de-githubpcp-reclamo-una-infraccion-de-4000-repositorios-internos-cyberdefensa-mx\/"},"modified":"2026-05-20T05:21:03","modified_gmt":"2026-05-20T05:21:03","slug":"el-equipo-de-investigacion-de-githubpcp-reclamo-una-infraccion-de-4000-repositorios-internos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/20\/el-equipo-de-investigacion-de-githubpcp-reclamo-una-infraccion-de-4000-repositorios-internos-cyberdefensa-mx\/","title":{"rendered":"El equipo de investigaci\u00f3n de GitHubPCP reclam\u00f3 una infracci\u00f3n de ~4000 repositorios internos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

GitHub dijo el martes que est\u00e1 investigando el acceso no autorizado a sus repositorios internos despu\u00e9s de que el notorio actor de amenazas conocido como TeamPCP pusiera a la venta el c\u00f3digo fuente de la plataforma y las organizaciones internas en un foro sobre delitos cibern\u00e9ticos.<\/p>\n

\u00abSi bien actualmente no tenemos evidencia de impacto en la informaci\u00f3n de los clientes almacenada fuera de los repositorios internos de GitHub (como las empresas, organizaciones y repositorios de nuestros clientes), estamos monitoreando de cerca nuestra infraestructura para la actividad de seguimiento\u00bb, dijo la subsidiaria propiedad de Microsoft. dicho<\/a>.<\/p>\n

La compa\u00f1\u00eda tambi\u00e9n se\u00f1al\u00f3 que notificar\u00e1 a los clientes a trav\u00e9s de los canales de notificaci\u00f3n y respuesta a incidentes establecidos si se descubre alg\u00fan impacto.<\/p>\n

El desarrollo se produce despu\u00e9s de que TeamPCP, un actor de amenazas detr\u00e1s de una serie de ataques a la cadena de suministro de software dirigidos a paquetes de c\u00f3digo abierto, pusiera a la venta el c\u00f3digo fuente de GitHub por un precio inicial de no menos de 50.000 d\u00f3lares. Se dice que el supuesto volcado de datos incluye alrededor de 4.000 repositorios.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abComo siempre, esto no es un rescate\u00bb, dijo el grupo en una publicaci\u00f3n. seg\u00fan capturas de pantalla<\/a> compartido por Dark Web Informer. \u00abNo nos importa extorsionar a GitHub, 1 comprador y trituramos los datos por nuestra parte, parece que nuestro retiro es pronto, as\u00ed que si no se encuentra ning\u00fan comprador, los filtramos de forma gratuita\u00bb.<\/p>\n

TeamPCP compromete el paquete PyPI durabletask<\/h3>\n

La noticia de la venta llega mientras la campa\u00f1a de malware autorreplicante de TeamPCP, conocida como Mini Shai-Hulud, contin\u00faa expandi\u00e9ndose en alcance con el compromiso de durabletask, un cliente oficial de Microsoft Python para el marco de ejecuci\u00f3n de flujo de trabajo Durable Task. Se han identificado tres versiones de paquetes maliciosos: 1.4.1, 1.4.2 y 1.4.3.<\/p>\n

\u00abEl atacante comprometi\u00f3 una cuenta de GitHub a trav\u00e9s de un ataque anterior, descarg\u00f3 secretos de GitHub de un repositorio al que el usuario ten\u00eda acceso y desde all\u00ed tuvo acceso al token PyPi para publicarlo directamente\u00bb, Wiz, propiedad de Google. dicho<\/a>.<\/p>\n

La carga \u00fatil incorporada en el paquete es un cuentagotas, que est\u00e1 configurado para buscar y ejecutar una carga \u00fatil de segunda etapa (\u00abrope.pyz\u00bb) desde un servidor externo (\u00abcheck.git-service\u00bb).[.]com\u00bb). Se considera que el malware es una evoluci\u00f3n de la carga \u00fatil implementada en relaci\u00f3n con el compromiso del paquete guardrails-ai la semana pasada.<\/p>\n

\"\"<\/a><\/div>\n

Espec\u00edficamente, est\u00e1 dise\u00f1ado para activar un ladr\u00f3n de informaci\u00f3n con todas las funciones que es capaz de recopilar credenciales asociadas con los principales proveedores de nube, administradores de contrase\u00f1as y herramientas de desarrollo, y exfiltrar los datos al dominio controlado por el atacante. Vale la pena se\u00f1alar que el ladr\u00f3n est\u00e1 configurado para ejecutarse s\u00f3lo en sistemas Linux.<\/p>\n

De acuerdo a SeguridadDep<\/a>el ladr\u00f3n de Python de 28 KB tambi\u00e9n intenta leer los secretos de HashiCorp Vault KV, desbloquear y volcar las b\u00f3vedas de contrase\u00f1as de 1Password y Bitwarden, y acceder a claves SSH, credenciales de Docker, configuraciones de VPN e historial de shell.<\/p>\n

\u00abSi la m\u00e1quina se ejecuta dentro de AWS, se propaga a otras instancias EC2 mediante SSM. Si est\u00e1 dentro de Kubernetes, se propaga a trav\u00e9s de kubectl exec\u00bb, Aikido Security dicho<\/a>. \u00abY si detecta configuraciones del sistema israel\u00ed o iran\u00ed, hay una posibilidad entre 6 de que reproduzca audio y luego ejecute rm -rf \/*\u00bb.<\/p>\n

\u00abDespu\u00e9s de enumerar las instancias administradas por SSM, utiliza SendCommand con el documento AWS-RunShellScript para ejecutar la carga \u00fatil rope.pyz en hasta otras 5 instancias EC2 por perfil\u00bb, seg\u00fan PasoSeguridad<\/a>. \u00abEl script de propagaci\u00f3n descarga la carga \u00fatil del C2 primario y vuelve al dominio secundario tm-kosche[.]com y lo ejecuta en segundo plano\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Tambi\u00e9n es notable el uso del mecanismo FIRESCALE para identificar una direcci\u00f3n de comando y control (C2) de respaldo en caso de que no se pueda acceder al dominio principal. Para ello, busca en los mensajes de confirmaci\u00f3n p\u00fablicos de GitHub el patr\u00f3n \u00abFIRESCALE .\u00bb y extrayendo la informaci\u00f3n C2 de \u00e9l. Hunt.io destac\u00f3 previamente los detalles de esta t\u00e9cnica.<\/base64_signatue><\/base64_url><\/p>\n

Debido a que el gusano se propaga utilizando tokens robados de entornos infectados, se espera que aumente el n\u00famero de paquetes afectados. Cualquier m\u00e1quina o canalizaci\u00f3n que haya instalado una versi\u00f3n afectada del paquete debe tratarse como totalmente comprometida.<\/p>\n

\u00abEl paquete se descarga aproximadamente 417.000 veces al mes y el c\u00f3digo malicioso se ejecuta autom\u00e1ticamente en el momento en que se importa el paquete, sin mensajes de error ni signos visibles de compromiso\u00bb, dijo el investigador de Endor Labs, Peyton Kennedy. dicho<\/a>.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

GitHub dijo el martes que est\u00e1 investigando el acceso no autorizado a sus repositorios internos despu\u00e9s de que el notorio actor de amenazas conocido como TeamPCP pusiera a la venta el c\u00f3digo fuente de la plataforma y las organizaciones internas en un foro sobre delitos cibern\u00e9ticos. \u00abSi bien actualmente no tenemos evidencia de impacto en […]<\/p>\n","protected":false},"author":1,"featured_media":731,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[24,2633,2634,2033,2636,2145,2635,55,132],"class_list":["post-925","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cyberdefensa-mx","tag-equipo","tag-githubpcp","tag-infraccion","tag-internos","tag-investigacion","tag-reclamo","tag-repositorios","tag-una"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/925","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=925"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/925\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/731"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=925"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=925"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=925"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}