← Alertas
Terceros Alto Activa

CISA confirma compromiso en cadena de suministro de software: extensión de VS Code y flujos de GitHub afectados

CISA confirmó dos campañas activas de compromiso en cadena de suministro: una extensión maliciosa de VS Code comprometió repositorios internos de GitHub, y la campaña 'Megalodon' inyectó código malicioso en flujos automatizados de cientos de proyectos.

2026-05-28 · CISA Alerts

Contexto

La agencia de ciberseguridad de Estados Unidos CISA confirmó dos incidentes activos de compromiso en cadena de suministro de software. El primero: la versión 18.95.0 de Nx Console — una extensión popular para VS Code (Visual Studio Code), la herramienta de escritura de código que usan millones de desarrolladores — fue comprometida y distribuyó código malicioso de forma automática a todos los equipos que la tenían instalada con actualizaciones automáticas activas. Esto resultó en acceso no autorizado a repositorios internos de GitHub, la plataforma donde las organizaciones almacenan su código fuente. El segundo: la campaña “Megalodon” inyectó instrucciones maliciosas en flujos de trabajo automatizados de cientos de proyectos en GitHub, cosechando credenciales y tokens de acceso.

Por qué importa

Impacto potencial

Para personas

Para organizaciones

Perspectiva Perímetro

El patrón aquí es “proveedores como vector”: los atacantes no atacan a la organización directamente — atacan las herramientas en las que confía. Una extensión de editor de código, actualizada automáticamente, se convierte en puerta de entrada silenciosa. Las organizaciones que no auditan las herramientas de sus desarrolladores ni revocan credenciales después de un incidente de proveedor quedan expuestas por confianza delegada, no por su propia negligencia directa.

Perspectiva GRC

Recomendaciones

Para personas

Para organizaciones

Gestión

Técnicas

Pregunta diagnóstica

¿Sabe qué herramientas usan sus desarrolladores y quién es responsable de verificar que no estén comprometidas?

Leer fuente original →