Vulnerabilidad crítica de GitHub.dev que permite robar tokens OAuth con un solo clic, mostrando riesgos de seguridad en desarrollo de software y cadena de suministro.

GitHub.dev vulnerabilidad: 1 clic roba todos tus tokens OAuth

por

Un clic basta para comprometer todos tus repositorios

El 2 de junio de 2026, el investigador de seguridad Ammar Askar reveló una vulnerabilidad crítica en GitHub.dev que permite robar el token OAuth de cualquier usuario con un solo clic en un enlace malicioso. Este token otorga acceso de lectura y escritura a TODOS los repositorios del usuario, públicos y privados, no solo al repositorio que esté abierto en ese momento.

Para founders y equipos de desarrollo, esto significa que un enlace aparentemente inocente compartido en Slack, Discord o email puede dar acceso total a tu código propietario, secretos de infraestructura y propiedad intelectual. En un contexto donde GitHub reportó el robo de 3.800 repositorios internos en mayo de 2026 por el grupo TeamPCP, esta nueva vulnerabilidad eleva la urgencia de revisar tus prácticas de seguridad.

¿Cómo funciona el exploit de GitHub.dev?

El ataque encadena múltiples debilidades técnicas en la arquitectura de GitHub.dev (el editor VS Code basado en navegador). Un Jupyter Notebook malicioso ejecuta JavaScript dentro de un webview sandboxed, que luego simula keystrokes mediante la API postMessage (específicamente Ctrl+Shift+A) para instalar silenciosamente una extensión rogue.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

La extensión aprovecha la función de «local workspace extensions» de VS Code, que bypassa el prompt de confianza para publishers. Una vez instalada, la extensión rogue extrae el token OAuth completo. El problema se agrava porque GitHub.dev no implementa tokens CSRF, por lo que cualquier enlace puede iniciar el ataque sin interacción adicional del usuario.

Microsoft reconoció el fallo y está trabajando en un fix. Es importante notar que NO afecta a VS Code Desktop, solo a la versión basada en navegador (GitHub.dev).

¿Qué tiene que ver esto con el breach de TeamPCP?

Este incidente llega apenas semanas después del breach de GitHub por TeamPCP que comprometió 3.800 repositorios internos en mayo de 2026. Según Computerworld, ese ataque se originó mediante una extensión maliciosa de VS Code que infectó el dispositivo de un empleado de GitHub.

La extensión comprometida en ese caso fue Nx Console versión 18.95.0, que estuvo expuesta durante 18 minutos antes de ser removida. Los atacantes intentaron robar credenciales de Kubernetes, npm, AWS, 1Password, claves privadas y GitHub. Miles de desarrolladores se vieron afectados.

El patrón es consistente: ataques a la cadena de suministro de desarrollo que usan extensiones o herramientas legítimas como vector de infección. En junio de 2026, el CSIRT de Telconet también reportó una vulnerabilidad alta en Claude Code GitHub Actions que permite comprometer repositorios mediante ataque a la cadena de suministro.

¿Por qué Ammar Askar no siguió disclosure coordinado?

Según el reporte, Askar no siguió el proceso de divulgación coordinada de vulnerabilidades debido a frustración previa con MSRC (Microsoft Security Response Center). Esta decisión es controversial en la comunidad de seguridad, pero refleja una tensión creciente entre investigadores independientes y los procesos corporativos de respuesta a vulnerabilidades.

El perfil público de Askar en GitHub muestra 172 repositorios y un historial de investigación en seguridad de sistemas. Su decisión de publicar sin coordinación aceleró la conciencia sobre el problema, pero también expuso a usuarios antes de que existiera un parche disponible.

¿Qué significa esto para tu startup?

Si tu startup usa GitHub para alojar código propietario (y probablemente lo hace), esta vulnerabilidad representa un riesgo directo a tu propiedad intelectual y secretos comerciales. Un solo desarrollador que haga clic en el enlace incorrecto puede comprometer toda tu base de código.

Acciones concretas para implementar hoy:

  • Audita permisos de tokens OAuth: Revisa en GitHub Settings > Applications qué aplicaciones tienen acceso a tus repositorios. Revoca cualquier token que no reconozcas o que tenga permisos excesivos.
  • Restringe acceso a GitHub.dev: Si tu organización maneja código propietario, considera bloquear el acceso a GitHub.dev a nivel de política organizacional. Usa VS Code Desktop donde sea posible.
  • Revisa .vscode/extensions antes de abrir repositorios: Implementa un proceso de code review que incluya verificar el archivo de extensiones recomendadas. Una extensión maliciosa aquí puede infectar a todo el equipo.
  • Implementa rotación periódica de tokens: Establece una política de rotación de tokens OAuth cada 90 días, especialmente para cuentas con acceso a repositorios críticos.
  • Usa tokens con alcance mínimo: Cuando generes nuevos tokens, otorga solo los permisos estrictamente necesarios (principle of least privilege). No uses tokens con acceso «repo» completo para tareas que solo necesitan lectura.
  • Capacita a tu equipo en phishing técnico: Los enlaces a GitHub.dev pueden parecer legítimos. Entrena a tus desarrolladores para verificar URLs antes de hacer clic, especialmente si llegan por canales no verificados.

¿Cómo proteger la cadena de suministro de tu startup?

Más allá de esta vulnerabilidad específica, el patrón de ataques a herramientas de desarrollo en 2026 requiere un enfoque sistemático de seguridad:

Para startups en etapa temprana (pre-seed/seed):

  • Usa autenticación de dos factores obligatoria para todos los miembros del equipo
  • Centraliza la gestión de secretos en herramientas como 1Password o AWS Secrets Manager
  • Documenta qué extensiones de VS Code están aprobadas para uso en el equipo

Para startups en crecimiento (Serie A+):

  • Implementa SSO (Single Sign-On) para GitHub con tu proveedor de identidad corporativo
  • Usa GitHub Enterprise con políticas de seguridad avanzadas
  • Considera soluciones de security posture management para desarrollo (como Snyk o Mend)
  • Establece un proceso formal de review de seguridad para extensiones y dependencias

¿Están seguras otras plataformas de desarrollo en la nube?

GitHub.dev no es la única plataforma vulnerable. El ecosistema de desarrollo en la nube ha crecido rápidamente, y la seguridad no siempre ha seguido el mismo ritmo. Gitpod, CodeSandbox, Replit y otras plataformas similares comparten arquitecturas que pueden presentar riesgos análogos.

La lección clave: cualquier entorno de desarrollo que ejecute código no verificado en un contexto con acceso a tus credenciales representa un riesgo potencial. La conveniencia del desarrollo en la nube debe balancearse con controles de seguridad apropiados.

Conclusión

La vulnerabilidad de GitHub.dev revelada el 2 de junio de 2026 es un recordatorio contundente de que la seguridad de tu startup no termina en tu aplicación—comienza en tus herramientas de desarrollo. Con miles de desarrolladores afectados por ataques a la cadena de suministro en los últimos meses, la ventana para actuar es ahora.

Microsoft está trabajando en un fix, pero no esperes el parche para tomar acción. Revisa tus tokens OAuth hoy, audita las extensiones de tu equipo, y establece políticas claras sobre qué herramientas de desarrollo están aprobadas para código propietario. Tu código es tu activo más valioso—protégelo como tal.

Fuentes

  1. https://thenextweb.com/news/github-dev-vscode-oauth-token-theft (fuente original)
  2. https://www.computerworld.es/article/4175755/github-admite-una-importante-filtracion-de-codigo-fuente-tras-la-vulneracion-de-3-800-repositorios-internos.html (contexto breach TeamPCP)
  3. https://csirt.telconet.net/comunicacion/boletines-servicios/vulnerabilidad-alta-en-claude-code-github-actions-permite-comprometer-repositorios-mediante-ataque-a-la-cadena-de-suministro/ (vulnerabilidades relacionadas 2026)
  4. https://github.com/ammaraskar (perfil del investigador)
¿te gustó o sirvió lo que leíste?, Por favor, comparte.
LinkedInPrintRedditTelegramWhatsApp

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Artículos relacionados:

Desarrolladores colaborando en entorno moderno con código paralelo y optimizaciones JavaScript, ilustrando Bun runtime acelerando desarrollo SaaS.Bun v1.3.9: Ejecución Paralela y Optimizaciones para Startups Ciberseguridad en startups: protección tras la brecha de seguridad de GitHub y extensiones maliciosas de VS Code.GitHub: 3,800 repos robados por extensión VS Code Visualización de un bug nvarchar en Dapper que afecta el rendimiento e indices en SQL Server en desarrollo C#.Dapper y SQL Server: el bug nvarchar que mata tus indices Transferencia segura de secretos en Unix mediante stdin, ilustrando automatización y manejo seguro de credenciales para DevOps.Cómo Pasar Secretos por Stdin en Unix: Guía de Seguridad Founder tech usando Claude Code con Language Server Protocol para mejorar velocidad y precisión en desarrollo automatizado.Claude Code LSP: Cómo mejora velocidad y precisión (2026)

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.


Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly