Puntos clave de la noticia:
- CZ instó a los desarrolladores a revisar y rotar claves API tras confirmarse un acceso no autorizado a los repositorios internos de GitHub.
- El atacante fue UNC6780, identificado por Google. Este robó código fuente de unos 3.800 repositorios y vende los datos en foros de la dark web por más de $50.000.
- La brecha expone vulnerabilidades estructurales y severas dependencias en el ecosistema de APIs cripto.
Changpeng Zhao, fundador y ex CEO de Binance, llamó públicamente a los desarrolladores a auditar y rotar de forma inmediata cualquier clave API almacenada en código, luego de que GitHub confirmara el acceso no autorizado a sus repositorios internos. El vector de entrada fue una extensión maliciosa de Visual Studio Code instalada en el dispositivo de un empleado.
GitHub, plataforma propiedad de Microsoft, identificó la intrusión el mismo día y actuó de inmediato: retiró la versión maliciosa de la extensión, aisló el endpoint afectado y rotó credenciales críticas durante la noche.
If you have API keys in your code, even private repos, now is the time to double check and change them… https://t.co/DhzATRTyNQ
— CZ 🔶 BNB (@cz_binance) May 20, 2026
La compañía aclaró que, hasta el momento, no encontró evidencia de que repositorios de usuarios, cuentas empresariales ni datos de clientes almacenados fuera de sus sistemas internos hayan sido comprometidos. La investigación continúa y se anunciará un informe más completo una vez que concluya.
1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.
Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…
— GitHub (@github) May 20, 2026
Crisis Interna de Seguridad en GitHub
La responsabilidad del ataque fue atribuida a un grupo que opera bajo el seudónimo TeamPCP, ahora identificado por el Google Threat Intelligence Group como UNC6780, un grupo con motivación financiera y antecedentes en ataques a cadenas de suministro de software. Según el análisis, el grupo habría vulnerado cerca de 4.000 repositorios privados vinculados a la infraestructura central de GitHub. El dataset robado, que incluye código fuente y datos organizacionales, se comercializa en foros clandestinos con precios que superan los $50.000. Los atacantes distribuyeron índices de archivos y capturas de pantalla como prueba y ofrecen muestras a compradores serios.
UNC6780 tiene un patrón reconocible: sus campañas se concentran sistemáticamente en entornos CI/CD y herramientas de desarrollo, donde los tokens privilegiados y las credenciales de automatización permiten escalar el acceso. El grupo fue vinculado al exploit del Trivy Vulnerability Scanner mediante CVE-2026-33634, un incidente que afectó a más de 1.000 organizaciones, entre ellas Cisco, y a campañas dirigidas contra LiteLLM y Checkmarx orientadas a la recolección de credenciales en pipelines de entrega de software.
El Peso de la Dependencia de Herramientas de Terceros
CZ ha dejado en evidencia la fuerte dependencia estructural que tiene la industria cripto respecto de herramientas de desarrollo de terceros. Plataformas de trading, custodia, análisis on-chain y conectividad blockchain operan sobre integraciones que, en muchos casos, almacenan claves API y tokens de automatización directamente en repositorios de código. Una sola intrusión en la cadena de suministro puede comprometer simultáneamente a múltiples servicios que dependen de esas conexiones.
