Atak na łańcuch dostaw VS Code uderza w GitHub, OpenAI i Mistral AI

GitHub potwierdził dziś, że naruszenie około 3800 wewnętrznych repozytoriów pochodzi z zatrutej wersji rozszerzenia Nx Console VS Code, które samo w sobie jest ofiarą ataku łańcucha dostaw npm TanStack. Kampania, przypisywana grupie aktorów-zagrożeń TeamPCP i o kryptonimie Mini Shai-Hulud, obecnie twierdzi, że GitHub, OpenAI i Mistral AI są potwierdzonymi ofiarami, a dane uwierzytelniające programistów i wewnętrzny kod źródłowy są głównymi celami we wszystkich trzech przypadkach.

Jak 18 minut doprowadziło do upadku GitHub, OpenAI i Mistral AI?

Atak rozpoczął się 11 maja 2026 roku, kiedy TeamPCP naruszył cały ekosystem routerów TanStack, rozprzestrzeniając robakopodobny ładunek w 170 pakietach npm i dwóch pakietach PyPI w ramach jednej skoordynowanej kampanii. CVE-2026-45321 ma wynik CVSS 9,6. Stamtąd kompromis dotarł do urządzenia dewelopera Nx Console, które TeamPCP wykorzystał do wypchnięcia złośliwej kompilacji Nx Console 18.95.0 na Visual Studio Marketplace.

Trojanowane rozszerzenie było aktywne przez dokładnie 18 minut, między 12:30 a 12:48 UTC 18 maja 2026 roku. To okno było wystarczające. Rozszerzenie działało po cichu podczas uruchamiania, wykonując polecenie powłoki pod przykrywką rutynowego zadania konfiguracji MCP, które pobierało ukryty pakiet z zasadzonego commitu w oficjalnym repozytorium Nx GitHub. Wdrożony przez niego program do kradzieży danych uwierzytelniających był ukierunkowany na skarbce 1Password, konfiguracje kodu Anthropic Claude, tokeny npm, tokeny GitHub i poświadczenia AWS na każdej maszynie deweloperskiej, która zainstalowała go w tym oknie.

Rozszerzenie zainstalował pracownik GitHub. TeamPCP wykorzystał zebrane dane uwierzytelniające do przejścia przez potoki CI/CD i eksfiltracji około 3800 wewnętrznych repozytoriów. Alexis Wales, CISO w GitHub, potwierdził, że firma "nie ma dowodów na wpływ na informacje o klientach przechowywane poza wewnętrznymi repozytoriami GitHub", choć Wales przyznał, że niektóre wewnętrzne repozytoria zawierają fragmenty interakcji z obsługą klienta i zobowiązał się do powiadomienia klientów w przypadku wykrycia jakiegokolwiek wpływu.

Co zostało zrobione i kto jest zagrożony

OpenAI potwierdziło, że dwa urządzenia pracowników zostały naruszone, a ograniczony materiał uwierzytelniający został eksfiltrowany z podzbioru wewnętrznych repozytoriów kodu źródłowego. Firma zaangażowała zewnętrzną firmę zajmującą się kryminalistyką cyfrową i reagowaniem na incydenty oraz wycofuje swój certyfikat podpisywania aplikacji macOS w całości w dniu 12 czerwca 2026 r. Firma Mistral AI potwierdziła, że jej zestawy SDK npm i PyPI zostały zaatakowane przez trojana w ramach tej samej kampanii, a TeamPCP reklamował repozytoria kodu Mistral AI na sprzedaż na forum cyberprzestępczym.

Wspólnym czynnikiem dla wszystkich ofiar są narzędzia deweloperskie. Atak nigdy nie wymagał naruszenia zabezpieczeń. Atak przedostał się przez pakiety i rozszerzenia, które programiści rutynowo instalują, a następnie zebrał dane uwierzytelniające, których ci programiści używają, aby uzyskać dostęp do wszystkiego innego. OpenAI ujął implikację bezpośrednio: "Incydent ten odzwierciedla szerszą zmianę w krajobrazie zagrożeń - atakujący coraz częściej atakują współdzielone zależności oprogramowania i narzędzia programistyczne, a nie pojedynczą firmę"

Naruszenie ma miejsce, gdy Microsoft jednocześnie radzi sobie z własną niezałataną luką.