L'attacco alla catena di approvvigionamento di VS Code colpisce GitHub, OpenAI e Mistral AI

GitHub ha confermato oggi che la violazione di circa 3.800 repository interni risale a una versione avvelenata dell'estensione Nx Console VS Code, a sua volta vittima dell'attacco alla catena di distribuzione TanStack npm. La campagna, attribuita al gruppo di attori di minacce TeamPCP e con il nome in codice Mini Shai-Hulud, ha ora rivendicato GitHub, OpenAI e Mistral AI come vittime confermate, con le credenziali degli sviluppatori e il codice sorgente interno come obiettivi principali in tutti e tre i casi.

Come 18 minuti hanno fatto crollare GitHub, OpenAI e Mistral AI

L'attacco è iniziato l'11 maggio 2026, quando TeamPCP ha compromesso l'intero ecosistema di router di TanStack, diffondendo un payload simile a un worm in 170 pacchetti npm e due pacchetti PyPI in un'unica campagna coordinata. CVE-2026-45321 ha un punteggio CVSS di 9,6. Da lì, la compromissione ha raggiunto un dispositivo di uno sviluppatore di Nx Console, che TeamPCP ha utilizzato per spingere una build dannosa di Nx Console 18.95.0 sul Visual Studio Marketplace.

L'estensione troianizzata è rimasta attiva per 18 minuti esatti, tra le 12:30 e le 12:48 UTC del 18 maggio 2026. Quella finestra era sufficiente. L'estensione funzionava silenziosamente all'avvio, eseguendo un comando di shell camuffato da un'attività di routine di configurazione MCP che scaricava un pacchetto nascosto da un commit piantato sul repository ufficiale di Nx GitHub. Il ladro di credenziali che ha distribuito ha preso di mira i caveau 1Password, le configurazioni del codice Anthropic Claude, i token npm, i token GitHub e le credenziali AWS su qualsiasi macchina di sviluppatori che l'ha installata durante la finestra.

Un dipendente di GitHub ha installato l'estensione. TeamPCP ha utilizzato le credenziali raccolte per muoversi attraverso le pipeline CI/CD ed esfiltrare circa 3.800 repository interni. Il CISO di GitHub, Alexis Wales, ha confermato che l'azienda non ha "alcuna prova di impatto sulle informazioni dei clienti conservate al di fuori dei repository interni di GitHub", anche se Wales ha riconosciuto che alcuni repository interni contengono estratti di interazioni con l'assistenza clienti e si è impegnato a informare i clienti qualora venisse scoperto un impatto.

Cosa è stato preso e chi è a rischio

OpenAI ha confermato che due dispositivi dei dipendenti sono stati compromessi, con un'infiltrazione limitata di credenziali da un sottoinsieme di repository di codice sorgente interno. L'azienda ha ingaggiato una società di digital forensics e incident response di terze parti e sta revocando il certificato di firma delle app macOS nella sua interezza il 12 giugno 2026. Mistral AI ha confermato che i suoi SDK npm e PyPI sono stati oggetto di un trojan nell'ambito della stessa campagna, con TeamPCP che ha pubblicizzato i repository di codice di Mistral AI in vendita su un forum di criminalità informatica.

Il fattore comune a tutte le vittime è il tooling per sviluppatori. L'attacco non ha mai avuto bisogno di violare un perimetro. È entrato attraverso i pacchetti e le estensioni che gli sviluppatori installano abitualmente, poi ha raccolto le credenziali che questi sviluppatori utilizzano per accedere a tutto il resto. OpenAI ha inquadrato l'implicazione in modo diretto: "Questo incidente riflette un cambiamento più ampio nel panorama delle minacce: gli aggressori prendono sempre più di mira le dipendenze del software condiviso e gli strumenti di sviluppo, piuttosto che una singola azienda"

La violazione arriva mentre Microsoft sta affrontando contemporaneamente la propria vulnerabilità senza patch.