VS Code-aanval treft GitHub, OpenAI en Mistral AI

GitHub heeft vandaag bevestigd dat de inbreuk op ongeveer 3.800 interne repositories terug te voeren is op een vergiftigde versie van de Nx Console VS Code-extensie, zelf een slachtoffer van de TanStack npm-aanval. De campagne, die wordt toegeschreven aan de dreigersgroep TeamPCP en de codenaam Mini Shai-Hulud draagt, heeft nu GitHub, OpenAI en Mistral AI als bevestigde slachtoffers opgeëist, met inloggegevens van ontwikkelaars en interne broncode als primaire doelwitten bij alle drie.

Hoe 18 minuten GitHub, OpenAI en Mistral AI neerhaalden

De aanval begon op 11 mei 2026, toen TeamPCP het gehele router-ecosysteem van TanStack compromitteerde door een wormachtige payload te verspreiden over 170 npm-pakketten en twee PyPI-pakketten in één enkele gecoördineerde campagne. CVE-2026-45321 heeft een CVSS-score van 9.6. Van daaruit bereikte het compromis het apparaat van een Nx Console-ontwikkelaar, dat TeamPCP gebruikte om een schadelijke build van Nx Console 18.95.0 naar de Visual Studio Marketplace te pushen.

De getrojaniseerde extensie was precies 18 minuten live, tussen 12:30 en 12:48 uur UTC op 18 mei 2026. Dat venster was genoeg. De uitbreiding draaide stilletjes bij het opstarten en voerde een shellcommando uit dat vermomd was als een routinematige MCP-instellingstaak die een verborgen pakket downloadde van een geplante commit op de officiële Nx GitHub repository. De credential stealer die het inzette richtte zich op 1Password kluizen, Anthropic Claude code configuraties, npm tokens, GitHub tokens, en AWS credentials op elke ontwikkelaarsmachine die het tijdens het venster installeerde.

Een medewerker van GitHub installeerde de extensie. TeamPCP gebruikte de geoogste referenties om door CI/CD-pijplijnen te gaan en ongeveer 3.800 interne repositories te exfiltreren. GitHub CISO Alexis Wales bevestigde dat het bedrijf "geen bewijs heeft van invloed op klantinformatie die buiten de interne repositories van GitHub is opgeslagen," hoewel Wales toegaf dat sommige interne repositories uittreksels van klantondersteuningsinteracties bevatten en beloofde om klanten op de hoogte te stellen als er enige invloed wordt ontdekt.

Wat is er meegenomen, en wie loopt er risico

OpenAI bevestigde twee apparaten van werknemers werden gecompromitteerd, waarbij beperkt credential-materiaal uit een subset van interne broncode-repositories werd ge-exfiltreerd. Het bedrijf heeft een extern digitaal forensisch onderzoek en incident response bedrijf ingeschakeld en trekt het macOS app signing certificaat volledig in op 12 juni 2026. Mistral AI bevestigde dat zijn npm en PyPI SDK's werden getrojaniseerd als onderdeel van dezelfde campagne, waarbij TeamPCP de Mistral AI code repositories te koop aanbood op een cybercrime forum.

De gemeenschappelijke factor van alle slachtoffers is ontwikkelaarstooling. De aanval hoefde nooit een perimeter te doorbreken. De aanval kwam binnen via pakketten en extensies die ontwikkelaars routinematig installeren en verzamelde vervolgens de referenties die deze ontwikkelaars gebruiken om toegang te krijgen tot al het andere. OpenAI verwoordde de implicatie direct: "Dit incident weerspiegelt een bredere verschuiving in het bedreigingslandschap - aanvallers richten zich steeds meer op gedeelde softwareafhankelijkheden en ontwikkelingstools in plaats van op één enkel bedrijf."

Het lek doet zich voor terwijl Microsoft tegelijkertijd te maken heeft met zijn eigen ongepatchte kwetsbaarheid.