Атака на цепочку поставок VS Code поражает GitHub, OpenAI и Mistral AI

Сегодня GitHub подтвердил, что взлом примерно 3 800 внутренних репозиториев связан с отравленной версией расширения Nx Console VS Code, которое само стало жертвой атаки на цепочку поставок npm от TanStack. Кампания, приписываемая группе угроз TeamPCP под кодовым названием Mini Shai-Hulud, уже заявила в качестве подтвержденных жертв GitHub, OpenAI и Mistral AI, причем основными целями всех трех кампаний являются учетные данные разработчиков и внутренний исходный код.

Как 18 минут вывели из строя GitHub, OpenAI и Mistral AI

Атака началась 11 мая 2026 года, когда TeamPCP скомпрометировала всю экосистему маршрутизаторов TanStack, распространив червеобразную полезную нагрузку через 170 пакетов npm и два пакета PyPI в рамках одной скоординированной кампании. CVE-2026-45321 имеет CVSS-оценку 9,6. Затем компрометация достигла устройства разработчика Nx Console, которое TeamPCP использовал для распространения вредоносной сборки Nx Console 18.95.0 на Visual Studio Marketplace.

Троянское расширение просуществовало ровно 18 минут, между 12:30 и 12:48 по Гринвичу 18 мая 2026 года. Этого времени было достаточно. Расширение бесшумно запускалось при старте, выполняя команду оболочки, замаскированную под обычную задачу настройки MCP, которая загружала скрытый пакет из подложенного фикса на официальном репозитории Nx GitHub. Установленный им похититель учетных данных нацеливался на хранилища 1Password, конфигурации кода Anthropic Claude, токены npm, токены GitHub и учетные данные AWS на всех машинах разработчиков, которые установили его во время окна.

Сотрудник GitHub установил расширение. TeamPCP использовал собранные учетные данные для перемещения по конвейерам CI/CD и проникновения примерно в 3800 внутренних репозиториев. CISO GitHub Алексис Уэйлс подтвердила, что у компании "нет доказательств воздействия на информацию клиентов, хранящуюся за пределами внутренних репозиториев GitHub", хотя Уэйлс признала, что некоторые внутренние репозитории содержат отрывки взаимодействий со службой поддержки, и обязалась уведомить клиентов, если будет обнаружено какое-либо воздействие.

Что было похищено, и кто подвергается риску

Компания OpenAI подтвердила два устройства сотрудников были взломаны, и ограниченный материал с учетными данными был извлечен из подмножества внутренних репозиториев исходного кода. Компания привлекла стороннюю фирму по цифровой экспертизе и реагированию на инциденты и полностью отзывает свой сертификат подписи приложений для macOS 12 июня 2026 года. Компания Mistral AI подтвердила, что ее npm и PyPI SDK были заражены трояном в рамках той же кампании, а TeamPCP рекламировал репозитории кода Mistral AI для продажи на форуме по борьбе с киберпреступностью.

Общим фактором для всех жертв является инструментарий разработчика. Атаке никогда не требовалось нарушать периметр. Она проникла через пакеты и расширения, которые обычно устанавливают разработчики, а затем собрала учетные данные, которые эти разработчики используют для доступа ко всему остальному. Компания OpenAI прямо сформулировала последствия: "Этот инцидент отражает более широкий сдвиг в ландшафте угроз - злоумышленники все чаще выбирают в качестве мишени общие программные зависимости и инструменты разработки, а не какую-то одну компанию"

Взлом произошел в тот момент, когда Microsoft одновременно занимается устранением своей собственной непропатченной уязвимостью.