La agencia CISA de EE. UU. dejó expuesto durante seis meses un repositorio de GitHub con contraseñas, claves privadas y credenciales de AWS y Azure. Un investigador de GitGuardian descubrió la filtración, que incluía prácticas de seguridad deficientes, y alertó a la agencia para que eliminara el contenido. Aunque CISA investiga el incidente, afirma que no hay indicios de que los datos sensibles hayan sido comprometidos.

Un contratista de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU. cometió un grave error de seguridad al publicar accidentalmente credenciales confidenciales de la nube del gobierno en un repositorio público de GitHub llamado “Private-CISA”. El repositorio estuvo expuesto hasta mediados de mayo de 2026 y contenía datos críticos, incluyendo credenciales de AWS GovCloud y contraseñas en texto plano.

Una acción de GitHub muy utilizada, denominada actions-cool/issues-helper, ha sido comprometida. El ataque consistió en redirigir silenciosamente todas las etiquetas de versión del repositorio hacia un commit malicioso. Como resultado, las credenciales de los flujos de CI/CD son robadas y enviadas directamente al atacante, lo que representa un riesgo grave para los equipos de desarrollo que utilizan esta herramienta en sus flujos de trabajo automatizados.

Se ha detectado un ataque a la cadena de suministro en los flujos de trabajo de GitHub Actions, específicamente en actions-cool/issues-helper y maintain-one-comment. Los atacantes utilizaron commits impostores para robar credenciales confidenciales de los procesos CI/CD y enviarlas a un servidor externo. GitHub ya ha desactivado los repositorios afectados para detener la exfiltración de datos.

El equipo de TanStack implementó nuevas medidas de seguridad tras sufrir un ataque de envenenamiento de caché mediante un PR malicioso. Para evitar futuros incidentes, eliminaron funciones vulnerables de GitHub Actions y adoptaron el uso de hashes y restricciones de edad en dependencias. Además, evalúan la drástica posibilidad de permitir pull requests solo bajo invitación, lo que generaría un debate sobre la seguridad frente a la apertura de las contribuciones.

El grupo TeamPCP ha publicado el código fuente del gusano Shai-Hulud en GitHub, permitiendo que otros atacantes creen sus propias variantes. Este malware infecta paquetes de npm para robar credenciales de servicios como AWS y Azure, pudiendo borrar entornos locales si falla. Expertos advierten que ya existen imitadores expandiendo el alcance de esta herramienta destructiva.

La popular biblioteca de Go llamada fsnotify ha generado una alerta de seguridad en la cadena de suministro debido a un cambio repentino en el acceso de sus mantenedores. Esta herramienta, que ofrece notificaciones del sistema de archivos multiplataforma para diversos sistemas operativos, provocó preocupación en la comunidad de código abierto tras la eliminación de colaboradores de su repositorio de GitHub.

Desarrolladores abandonan GitHub por problemas crecientes que lo hacen poco fiable para trabajar en serio, según críticas que señalan un declive en la plataforma antes considerada esencial.

Una vulnerabilidad crítica de ejecución remota de código (RCE), identificada como CVE-2026-3854 en la infraestructura interna de Git de GitHub, podría haber permitido a cualquier usuario autenticado comprometer servidores backend, acceder a millones de repositorios privados y, en el caso de GitHub Enterprise Server (GHES), lograr un control total del servidor.