GitHub, Trivy y TanStack: la cadena de suministro bajo
En mayo de 2026, GitHub confirmó que atacantes del grupo TeamPCP comprometieron la extensión Nx Console de VS Code (versión 18.95.0) para exfiltrar datos de aproximadamente 3.800 repositorios internos. Los ataques a la cadena de suministro de herramientas de desarrollo ya no son teoría — son la campaña activa que está afectando a los equipos de software en todo el mundo.
En 30 segundos
- TeamPCP/UNC6780 comprometió la extensión Nx Console de VS Code y accedió a 3.800 repositorios internos de GitHub en mayo 2026. Los repos de clientes no fueron afectados, por ahora.
- Es el mismo grupo detrás del breach de la Comisión Europea y del compromiso de Trivy (scanner de vulnerabilidades) en marzo 2026, donde robaron 90+ GB de datos.
- OpenAI divulgó un incidente separado: atacantes distribuyeron 84 versiones maliciosas de 42 paquetes @tanstack para robar credenciales y tokens.
- El patrón común: los atacantes no van contra el código de producción, van contra las herramientas que usás para escribirlo.
- Acciones inmediatas: actualizá Nx Console a 19.0.0+, rotá credenciales en máquinas de dev, revisá logs de GitHub Actions de marzo y mayo 2026.
OpenAI es una empresa de investigación en inteligencia artificial fundada en 2015 que desarrolla modelos de lenguaje grandes, incluyendo ChatGPT y GPT-4, utilizados para procesamiento de texto, generación de contenido y aplicaciones de IA. Sus productos están disponibles mediante API y aplicaciones web.
¿Qué pasó en GitHub? El incidente de Nx Console
Un ataque a la cadena de suministro de herramientas de desarrollo es cuando los atacantes no van contra tu aplicación sino contra los instrumentos que usás para construirla: extensiones del IDE, librerías de testing, scanners de seguridad, SDKs de terceros. La máquina del desarrollador se convierte en el vector de entrada.
Eso fue exactamente lo que pasó con GitHub. Según HelpNet Security, TeamPCP comprometió la versión 18.95.0 de la extensión Nx Console para Visual Studio Code, que un empleado de GitHub tenía instalada. Desde ahí, el malware cosechó credenciales con acceso a repositorios internos y exfiltró datos de unos 3.800 repos. GitHub confirmó que no hay evidencia de robo de datos de clientes, aunque la investigación sigue abierta (spoiler: eso podría cambiar).
El grupo que lo hizo ya tiene antecedentes. TeamPCP, también identificado como UNC6780, es la misma organización que violó sistemas de la Comisión Europea a principios de 2026. Operan bajo una campaña que llaman “Mini Shai-Hulud” y están vendiendo los datos robados de GitHub en foros de cibercriminalidad por USD 50.000.
No es un caso aislado: el patrón de TeamPCP
Mirando la cronología completa, esto no es una serie de incidentes desconectados. Es una campaña coordinada contra el ecosistema de herramientas de desarrollo.
Los objetivos confirmados de TeamPCP incluyen: Trivy (scanner de vulnerabilidades), TanStack (plataforma de desarrollo web), LiteLLM, Checkmarx KICS, Telnyx SDK y MistralAI. Cada uno de estos es una herramienta que miles de equipos usan en sus pipelines de CI/CD o en sus entornos de desarrollo. Ninguno es trivial. Ninguno es oscuro. Relacionado: alternativas de CI/CD disponibles en 2026.
El patrón que repiten es siempre el mismo: comprometés una herramienta confiable, metés malware que corre silenciosamente sin afectar la funcionalidad visible, y cosechás credenciales de todos los que la usan. Una herramienta popular con 10.000 pipelines que la usan vale más que atacar una empresa por vez.
Trivy, TanStack, LiteLLM: cuando las herramientas de seguridad se vuelven armas
El caso de Trivy es el más irónico. Trivy es un scanner de vulnerabilidades — una herramienta de seguridad. Según el análisis de Wiz, el 19 de marzo de 2026, TeamPCP comprometió la versión v0.69.4 del proyecto, inyectando malware que se distribuyó a más de 10.000 pipelines de CI/CD activos. El resultado: más de 90 GB de datos exfiltrados.
Pensá en lo que eso significa: una herramienta que instalás precisamente para detectar vulnerabilidades se convirtió en el vector de ataque. Si alguna vez configuraste un pipeline de CI/CD con Trivy integrado, entendés lo automático que es ese proceso. Corrés el scan, ves el reporte, seguís. Nadie verifica la integridad del binario antes de ejecutarlo.
El caso de TanStack fue diferente en escala. Según la divulgación de OpenAI, el 11 de mayo de 2026, atacantes distribuyeron 84 versiones maliciosas a través de 42 paquetes del namespace @tanstack en npm. TanStack (React Query, TanStack Router, TanStack Table) es una de las librerías más usadas en proyectos React modernos. OpenAI fue uno de los afectados confirmados: el malware estaba diseñado para cosechar passwords y tokens del entorno de ejecución.
¿Y qué pasó con los tokens robados? Un solo token comprometido en el entorno de desarrollo se propagó a cinco ecosistemas: CI/CD, npm, Docker, servicios de IA y repositorios internos. Eso es lo que hace que estas máquinas sean tan valiosas como objetivo.
Por qué el entorno de desarrollo es la nueva frontera de seguridad
Durante años, el foco de seguridad estuvo en producción: hardening de servidores, WAF, monitoreo runtime, patches de sistema operativo. Todo eso sigue siendo necesario, pero ya no alcanza.
La máquina de un desarrollador es hoy uno de los activos más sensibles de cualquier empresa. Tiene acceso simultáneo a: credenciales de cloud (AWS, GCP, Azure), SSH keys, tokens de CI/CD, secrets de Kubernetes, acceso a registros de Docker, y casi siempre, permisos directos sobre repositorios internos. Es un gateway a toda la infraestructura, protegido frecuentemente por… nada más que una contraseña de cuenta local. Lo explicamos a fondo en alternativas a GitHub Actions más seguras.
El shift es claro: antes atacaban el destino (los servidores de producción). Ahora atacan el camino (el entorno desde donde se despliega todo). Y el camino tiene mucho menos monitoreo.
Cómo roban credenciales y tokens: el mecanismo real
Ponele que instalás una extensión de VS Code o actualizás un paquete npm que parece legítimo. La extensión o el paquete funciona exactamente como esperás (el ataque no puede permitirse romper la funcionalidad, porque eso alertaría a alguien). En paralelo, en background, el malware empieza a trabajar.
El mecanismo documentado en el caso de GitHub Actions es particularmente preocupante: Microsoft documentó que el malware de TeamPCP, llamado “TeamPCP Cloud Stealer”, hace dumping de la memoria del proceso Runner.Worker de GitHub Actions para extraer secretos en tiempo real durante la ejecución del pipeline. Los datos robados se cifran con AES-256 y RSA-4096 antes de la exfiltración remota. Técnicamente sofisticado, operacionalmente invisible si no sabés dónde mirar.
El malware no grita. No consume CPU de forma notoria. No rompe builds. Corre silenciosamente mientras vos pensás que todo está bien.
5 acciones inmediatas para tu equipo
Si trabajás con estas herramientas o tenés pipelines de CI/CD, estas son las cosas concretas que hacés esta semana:
- Actualizá Nx Console: la versión comprometida es 18.95.0. Cualquier versión anterior a 19.0.0 debe actualizarse inmediatamente. Revisá que todos en el equipo hayan hecho la actualización, no solo vos.
- Rotá credenciales de máquinas de desarrollo: SSH keys, tokens de acceso a repositorios, variables de entorno con secrets. Si tu máquina (o la de alguien del equipo) tenía Nx Console instalada, asumí que están comprometidas hasta que las rotés.
- Revisá logs de GitHub Actions: en particular, actividad anómala en marzo y mayo de 2026. Buscá accesos inusuales, jobs que corren fuera de schedule, y especialmente cualquier uso de credenciales desde IPs que no reconocés.
- Auditá las versiones de Trivy en tus pipelines: si usabas v0.69.4, cambiá a una versión limpia y verificá que el hash del binario coincide con el publicado en el release oficial. Trivy emitió nuevas signing keys después del incidente.
- Segmentá los entornos de desarrollo: las máquinas de dev no deberían tener acceso directo a producción. Si lo tienen, ese es el siguiente cambio arquitectural que hacés.
Estado actual: qué está confirmado y qué no
| Incidente | Estado | Datos confirmados |
|---|---|---|
| GitHub breach vía Nx Console | Confirmado | 3.800 repos internos, datos en venta por USD 50.000 |
| Datos de clientes de GitHub robados | No confirmado (investigación abierta) | GitHub dice que no hay evidencia hasta ahora |
| Trivy v0.69.4 comprometido | Confirmado (19 marzo 2026) | 10.000+ pipelines afectados, 90+ GB exfiltrados |
| TanStack / @tanstack npm attack | Confirmado (11 mayo 2026) | 84 versiones maliciosas, 42 paquetes, OpenAI afectado |
| Vínculo TeamPCP con breach Comisión Europea | Confirmado por investigadores | Mismo grupo, misma campaña “Mini Shai-Hulud” |
| Otros equipos no-GitHub afectados por el breach de Nx Console | Pendiente de investigación | No hay divulgación pública aún |
DevSecOps como defensa: más allá del parche
Rotar credenciales y actualizar extensiones es el triage. La estrategia de fondo requiere cambios en cómo el equipo trata la seguridad del entorno de desarrollo. Más contexto en plataformas que priorizan privacidad y seguridad.
Lo más inmediato: firma digital de paquetes y verificación de integridad de releases. Si tu pipeline descarga una herramienta y la ejecuta sin verificar el hash o la firma GPG, estás confiando en que el servidor de distribución no fue comprometido. Dado los últimos meses, esa confianza ya no es razonable.
Gestión de secrets: las variables de entorno en máquinas de desarrollo son un riesgo conocido. Herramientas como HashiCorp Vault o sistemas de credenciales rotativas reducen el impacto si una máquina es comprometida (el token tiene 15 minutos de vida, no sirve para nada una vez exfiltrado). Si tu empresa necesita infraestructura para esto, revisar proveedores de cloud como los que ofrece donweb.com para staging y entornos seguros puede ser un punto de partida.
CI/CD pipeline hardening: los jobs de GitHub Actions deberían correr con el principio de mínimo privilegio. Un job que solo despliega a staging no necesita tokens con permisos de admin. Revisá los permisos de cada workflow, son probablemente más amplios de lo que pensás.
GitHub, TanStack y Trivy tuvieron que reemitir certificados y signing keys después de sus respectivos incidentes. Eso no es solo un trámite burocrático: significa que cualquier cosa firmada con las keys anteriores debe tratarse como potencialmente comprometida hasta nuevo aviso.
Errores comunes ante estos incidentes
Error 1: asumir que “no fuimos target” significa que no hubo impacto. El malware no discrimina. Si tu pipeline usaba Trivy v0.69.4 o tenía instalado @tanstack en alguna versión del rango afectado, el código malicioso corrió en tu entorno. Que no hayas recibido una llamada de extorsión no quiere decir que no exfiltraron nada.
Error 2: rotar solo las credenciales obvias. Después de un compromiso de máquina de desarrollo, la mayoría de los equipos rota los tokens de GitHub y listo. Pero las máquinas de dev también tienen SSH keys para servidores, credenciales de bases de datos de staging, tokens de APIs de terceros, y acceso a registros de contenedores. Todo eso necesita rotación. Tema relacionado: ejecutar herramientas sin dependencias externas.
Error 3: tratar las extensiones de IDE como software de confianza implícita. El VS Code Marketplace tiene cierto nivel de revisión, pero no es AppStore con sandbox estricto. Una extensión comprometida tiene acceso al sistema de archivos, puede leer variables de entorno y tiene red. Revisá qué extensiones tiene instaladas cada persona del equipo, cuándo se actualizaron por última vez, y desde qué publisher vienen.
Preguntas Frecuentes
¿Qué es un ataque a la cadena de suministro de software?
Un ataque a la cadena de suministro de software ocurre cuando los atacantes comprometen una herramienta, librería o extensión que otros desarrolladores usan, en lugar de atacar el objetivo final directamente. El vector de infección es el ecosistema de herramientas de desarrollo: paquetes npm, extensiones de IDE, binarios de CI/CD, scanners de seguridad. Si la herramienta es confiable y ampliamente usada, el alcance del ataque se multiplica automáticamente.
¿Cuáles herramientas de desarrollo fueron comprometidas en 2026?
En la campaña activa de 2026, TeamPCP comprometió: Nx Console para VS Code (versión 18.95.0, mayo 2026), Trivy el scanner de vulnerabilidades (v0.69.4, 19 marzo 2026), 42 paquetes del namespace @tanstack en npm (11 mayo 2026), y también se reportaron compromisos en LiteLLM, Checkmarx KICS, Telnyx SDK y MistralAI. El patrón involucra siempre herramientas del ecosistema de desarrollo, no aplicaciones de usuario final.
¿Necesito cambiar mis credenciales después del GitHub breach?
Si tenías instalada la extensión Nx Console en cualquier versión anterior a 19.0.0, rotá credenciales de esa máquina: tokens de GitHub, SSH keys, variables de entorno con secrets, y cualquier token de acceso a servicios cloud. Si usabas Trivy v0.69.4 en pipelines de CI/CD, hacé lo mismo con los secrets accesibles desde esos pipelines. GitHub no confirmó robo de datos de clientes, pero la recomendación de seguridad estándar ante un compromiso de máquina es rotar todo lo que tuvo acceso.
¿Cómo proteger mi equipo de desarrollo de estos ataques?
Las medidas más concretas: auditar y limitar las extensiones de IDE a publishers verificados, implementar verificación de integridad de paquetes (hashes o firma GPG) en pipelines, usar gestión de secrets con rotación automática en lugar de variables de entorno estáticas, aplicar principio de mínimo privilegio en tokens de CI/CD, y monitorear logs de GitHub Actions para actividad fuera de lo normal. A nivel arquitectural, los entornos de desarrollo no deberían tener acceso directo a producción.
¿Qué diferencia hay entre el breach de GitHub y los de Trivy o TanStack?
En el breach de GitHub, el vector fue una extensión de VS Code instalada en la máquina de un empleado, lo que dio acceso a repositorios internos. En Trivy y TanStack, el compromiso fue upstream: los atacantes tomaron control del propio proyecto y distribuyeron versiones maliciosas a todos los usuarios downstream. El primer tipo afecta a una organización; el segundo afecta a miles de equipos simultáneamente que confían en esa herramienta.
Conclusión
Lo que cambió en 2026 no es la existencia de los ataques a la cadena de suministro. Es la escala, la coordinación y la sofisticación. TeamPCP no es un grupo de script kiddies: opera con infraestructura de C2, cifrado de grado militar, y una estrategia clara de comprometer herramientas de alta confianza para maximizar el alcance.
El entorno de desarrollo siempre fue el eslabón más débil de la cadena de seguridad corporativa, y por años nadie lo trató con el mismo rigor que los servidores de producción. Esa brecha ahora tiene consecuencias concretas: 3.800 repositorios internos de GitHub, 90+ GB de datos de pipelines de CI/CD, credenciales de OpenAI y otros cosechadas a través de paquetes npm.
¿Alguien lo iba a aprovechar tarde o temprano? Exacto, era predecible. Lo que queda ahora es tratar la seguridad del entorno de desarrollo con el mismo nivel de atención que el resto de la infraestructura: auditorías de herramientas, rotación de credenciales, mínimo privilegio, y monitoreo activo. No como proyecto a largo plazo, sino como prioridad de esta semana.
Fuentes
- HelpNet Security – GitHub breached by TeamPCP, datos de 3.800 repos internos exfiltrados
- Wiz Research – Trivy comprometido: análisis técnico del ataque de cadena de suministro
- OpenAI – Respuesta oficial al ataque de cadena de suministro en TanStack npm
- Microsoft Security Blog – Detectando y defendiendo el compromiso de cadena de suministro en Trivy
- BleepingComputer – Trivy vulnerability scanner breach pushed infostealer via GitHub Actions
