TeamPCP comprometió 3.800 repositorios de GitHub en 18 minutos con una extensión de VS Code troyanizada

El 18 de mayo de 2026, una extensión de VS Code llamada Nx Console apareció en el Visual Studio Marketplace. No era la extensión legítima de Nx Console, que millones de desarrolladores usan para gestionar proyectos Angular y NestJS. Era una versión troyanizada publicada por el grupo TeamPCP — el mismo que en marzo comprometió la librería Axios e inyectó código malicioso en el proceso de firma de las apps de macOS de OpenAI.

TeamPCP comprometió aproximadamente 3.800 repositorios internos de GitHub en mayo de 2026 a través de una versión troyanizada de la extensión Nx Console de VS Code, que estuvo activa en el Visual Studio Marketplace durante 18 minutos el 18 de mayo. El ataque extrajo tokens de GitHub, claves AWS, credenciales de npm y archivos de configuración de Claude Code de las máquinas de los desarrolladores. OpenAI (dos dispositivos de empleados) y Mistral AI (un dispositivo, con una demanda de extorsión de 25.000 dólares) fueron también víctimas confirmadas. OpenAI está revocando su certificado de firma de macOS el 12 de junio como resultado. Gizmodo

Dieciocho minutos. En dieciocho minutos, una extensión maliciosa en el marketplace más usado por los desarrolladores del mundo comprometió 3.800 repositorios, extrajo credenciales de acceso a GitHub, AWS y npm, e infectó las configuraciones de Claude Code en miles de máquinas de desarrolladores. La extensión fue detectada y retirada, pero el daño ya estaba hecho.

Cómo funcionó el ataque y por qué fue tan efectivo

El Visual Studio Marketplace tiene más de 50 millones de descargas diarias. Es el canal principal a través del cual los desarrolladores que usan VS Code o Cursor instalan herramientas de productividad, linters, gestores de proyectos y extensiones de IA. La mayoría de extensiones se instalan con un clic, sin que el desarrollador examine el código que está ejecutando en su máquina.

TeamPCP subió una extensión con el mismo nombre y apariencia que la extensión legítima de Nx Console. La táctica es la misma que en el ataque a Axios: en lugar de intentar comprometer directamente los sistemas objetivo, comprometer las herramientas que esos sistemas usan. Si la extensión legítima tiene cientos de miles de instalaciones, la versión troyanizada puede llegar a miles de máquinas antes de ser detectada, simplemente porque los usuarios confían en el nombre que reconocen.

La extensión maliciosa ejecutaba código en segundo plano que extraía tres categorías de credenciales de la máquina del desarrollador: tokens de autenticación de GitHub que permiten acceso a los repositorios del usuario, claves de API de AWS para los servicios en la nube que el desarrollador tiene configurados, y archivos de configuración de Claude Code que incluyen claves de API de Anthropic y contexto sobre los proyectos en los que el desarrollador está trabajando.

Con esas credenciales, TeamPCP tenía acceso a los repositorios privados de los desarrolladores afectados — código propietario, secretos de configuración, infraestructura — sin necesidad de explotar ninguna vulnerabilidad técnica adicional. Las llaves de la casa las proporcionó el propio desarrollador al instalar la extensión.

Las víctimas confirmadas y la demanda de extorsión

El alcance del ataque incluye dos nombres que tienen consecuencias más allá del incidente técnico.

OpenAI tuvo dos dispositivos de empleados comprometidos. El impacto directo — acceso a repositorios internos de desarrolladores de OpenAI — es preocupante en sí mismo. El impacto indirecto es lo que motivó la decisión que OpenAI anunció esta semana: revocar el certificado de firma de macOS el 12 de junio. Los archivos de configuración de Claude Code extraídos de las máquinas comprometidas incluían materiales que hacen necesario regenerar los certificados usados para firmar las aplicaciones de macOS de la empresa.

Mistral AI tuvo un dispositivo comprometido y recibió una demanda de extorsión de 25.000 dólares. Que TeamPCP haya pasado de exfiltrar credenciales a extorsionar directamente a una empresa frontier señala una evolución en su modelo de negocio criminal: no solo vender las credenciales robadas en mercados clandestinos, sino extraer valor directamente de las víctimas más visibles.

El patrón TeamPCP y lo que ha cambiado desde el ataque a Axios

En marzo, cubrimos el ataque de TeamPCP a la librería Axios — 26 millones de descargas semanales en npm — que comprometió el proceso de firma de código de las apps de macOS de OpenAI. En ese momento, el vector era la ingeniería social contra un mantenedor de un proyecto open source. El vector de mayo es distinto pero sigue la misma lógica: comprometer el ecosistema de herramientas de desarrollador para llegar a los sistemas objetivo sin atacarlos directamente.

Lo que ha cambiado es la escala y la velocidad. El ataque a Axios tardó semanas en planificarse y ejecutarse. El ataque del 18 de mayo tardó 18 minutos en el marketplace antes de ser detectado — tiempo suficiente para comprometer 3.800 repositorios. La automatización del proceso de exfiltración y distribución permite que los ataques de cadena de suministro de software sean cada vez más rápidos y eficientes.

El patrón que ambos ataques comparten con los que el informe de GTIG de Google documentó en mayo es el mismo: actores con motivación financiera y probablemente vinculados a Corea del Norte que han identificado el ecosistema de herramientas de desarrollador de IA como el vector de ataque con mayor retorno. Los laboratorios de IA tienen sistemas de seguridad perimetral sofisticados. Tienen procesos de revisión de código y controles de acceso. Pero los desarrolladores que trabajan con esas herramientas instalan extensiones de VS Code con un clic, configuran sus credenciales en archivos locales y ejecutan código de terceros como parte de su flujo de trabajo normal. Esa superficie de ataque es estructuralmente difícil de defender.

Lo que los desarrolladores deben hacer ahora

Si instalaste alguna extensión de VS Code el 18 de mayo y tu entorno incluye acceso a repositorios de GitHub, claves AWS o configuraciones de Claude Code, hay tres acciones que tomar independientemente de si recibiste algún aviso de compromiso.

Primero, rota todos los tokens de GitHub. Ve a GitHub Settings → Developer Settings → Personal Access Tokens y regenera todos los tokens activos. Si usas GitHub Actions, actualiza los secrets en todos los repositorios afectados.

Segundo, rota las claves de AWS. En la consola de IAM de AWS, desactiva y regenera todas las claves de acceso programático. Revisa el historial de llamadas a la API de los últimos días en CloudTrail para detectar actividad anómala.

Tercero, regenera las claves de API de Anthropic y OpenAI. En los paneles de desarrollador de ambas plataformas, revoca las claves existentes y genera nuevas. Si usas Claude Code, actualiza la configuración local con las nuevas claves.

El hecho de que no hayas recibido ningún aviso no es garantía de que tus credenciales no fueron extraídas. La extensión maliciosa estuvo activa 18 minutos y el proceso de extracción era automático — no requería interacción del atacante con cada máquina comprometida. La rotación preventiva de credenciales es el único método fiable de mitigación.

La implicación sistémica que trasciende el incidente

El ataque del 18 de mayo no es solo el segundo episodio de TeamPCP. Es la evidencia más concreta hasta ahora de que el ecosistema de herramientas de desarrollo de IA — VS Code, extensiones de GitHub, Claude Code, las APIs de los laboratorios — se ha convertido en el vector de ataque preferido para actores que quieren acceder a los sistemas más seguros de la industria sin atacarlos directamente.

Los marketplaces de extensiones de editores de código son infraestructura crítica para el desarrollo de software moderno. No están diseñados con los mismos controles de seguridad que los sistemas que protegen. La verificación de extensiones en el Visual Studio Marketplace es limitada — Microsoft procesa millones de publicaciones y el proceso de revisión manual no puede seguir el ritmo de los atacantes que publican y retiran código malicioso en ventanas de minutos.

Lo que el incidente del 18 de mayo demuestra es que 18 minutos son suficientes para causar daño a escala industrial cuando el canal de distribución tiene el alcance del VS Code Marketplace y las credenciales objetivo son las de los desarrolladores de las empresas de IA más valiosas del mundo. Ese window de 18 minutos no va a cerrarse con mejores defensas perimetrales. Requiere un replanteamiento de cómo los desarrolladores gestionan credenciales en entornos donde las extensiones de terceros tienen acceso al sistema de archivos local.