VS Code ellátási lánc támadás éri a GitHub, az OpenAI és a Mistral AI-t

A GitHub ma megerősítette, hogy a nagyjából 3800 belső adattár sérülése az Nx Console VS Code kiterjesztés mérgezett verziójára vezethető vissza, amely maga is a TanStack npm ellátási lánc támadásának áldozata. A TeamPCP fenyegető csoportnak tulajdonított, Mini Shai-Hulud kódnevű kampánynak mostanra a GitHub, az OpenAI és a Mistral AI is megerősített áldozatai lettek, és mindhárom szervezetnél a fejlesztői hitelesítő adatok és a belső forráskódok voltak az elsődleges célpontok.

Hogyan döntötték le 18 perc alatt a GitHubot, az OpenAI-t és a Mistral AI-t?

A támadás elkezdődött 2026. május 11-én kezdődött, amikor a TeamPCP kompromittálta a TanStack teljes router-ökoszisztémáját, és egyetlen összehangolt kampányban féregszerű hasznos terhet terjesztett 170 npm-csomagban és két PyPI-csomagban. A CVE-2026-45321 9,6-os CVSS pontszámot kapott. Innen a kompromittálódás elérte az Nx Console fejlesztői eszközét, amelyet a TeamPCP arra használt, hogy az Nx Console 18.95.0 rosszindulatú buildjét a Visual Studio Marketplace-re tolja.

A trójai kiterjesztés pontosan 18 percig, 2026. május 18-án 12:30 és 12:48 UTC között élt. Ez az ablak elég volt. A bővítmény indításkor némán futott, és egy rutinszerű MCP-beállítási feladatnak álcázott héjparancsot hajtott végre, amely egy rejtett csomagot töltött le a hivatalos Nx GitHub-tárhelyen elhelyezett commitból. Az általa telepített hitelesítő adatok ellopója az 1Password trezorokat, az Anthropic Claude kódkonfigurációkat, az npm tokeneket, a GitHub tokeneket és az AWS hitelesítő adatokat célozta meg minden olyan fejlesztői gépen, amely az ablak alatt telepítette.

A GitHub egyik alkalmazottja telepítette a bővítményt. A TeamPCP a begyűjtött hitelesítő adatokat arra használta, hogy a CI/CD-pipeline-okon keresztül haladjon, és körülbelül 3800 belső tárolót tartalmazó tárolót szivárogtasson ki. Alexis Wales, a GitHub CISO-ja megerősítette, hogy a vállalatnak "nincs bizonyíték arra, hogy a GitHub belső tárolóin kívül tárolt ügyféladatokra hatással lenne", bár Wales elismerte, hogy néhány belső tároló ügyfélszolgálati interakciók részleteit tartalmazza, és elkötelezte magát amellett, hogy értesíti az ügyfeleket, ha bármilyen hatást észlelnek.

Mit vittek el, és ki van veszélyben

Az OpenAI megerősítette két munkavállalói eszközt veszélyeztettek, és a belső forráskód-tárhelyek egy részhalmazából korlátozott mennyiségű hitelesítő adatot szivárogtattak ki. A vállalat megbízott egy harmadik féltől származó digitális törvényszéki és incidenskezelő céget, és 2026. június 12-én teljes egészében visszavonja a macOS alkalmazás-aláíró tanúsítványát. A Mistral AI megerősítette, hogy az npm és PyPI SDK-it ugyanezen kampány részeként trójaiakkal fertőzték meg, a TeamPCP pedig egy kiberbűnözési fórumon hirdette a Mistral AI kódtárolóit eladásra.

Az összes áldozat közös tényezője a fejlesztői eszközök. A támadásnak sosem kellett áthatolnia a határokat. A fejlesztők által rutinszerűen telepített csomagokon és bővítményeken keresztül jutott be, majd begyűjtötte a fejlesztők által minden máshoz való hozzáféréshez használt hitelesítő adatokat. Az OpenAI egyenesen keretbe foglalta a következményeket: "Ez az incidens egy szélesebb körű változást tükröz a fenyegetések terén - a támadók egyre inkább a megosztott szoftverfüggőségeket és a fejlesztői eszközöket veszik célba, nem pedig egyetlen vállalatot."

A jogsértés akkor történik, amikor a Microsoft egyszerre foglalkozik a saját javítatlan sebezhetőségével.