Ataque à cadeia de suprimentos do VS Code atinge GitHub, OpenAI e Mistral AI

O GitHub confirmou hoje que a violação de cerca de 3.800 repositórios internos remonta a uma versão envenenada da extensão Nx Console VS Code, ela própria uma vítima do ataque à cadeia de suprimentos TanStack npm. A campanha, atribuída ao grupo de agentes de ameaças TeamPCP e com o codinome Mini Shai-Hulud, já reivindicou o GitHub, a OpenAI e a Mistral AI como vítimas confirmadas, sendo que as credenciais de desenvolvedor e o código-fonte interno são os principais alvos dos três.

Como 18 minutos derrubaram o GitHub, o OpenAI e o Mistral AI

O ataque começou em 11 de maio de 2026, quando o TeamPCP comprometeu todo o ecossistema de roteadores da TanStack, espalhando uma carga útil semelhante a um worm em 170 pacotes npm e dois pacotes PyPI em uma única campanha coordenada. O CVE-2026-45321 tem uma pontuação CVSS de 9,6. A partir daí, o comprometimento chegou a um dispositivo de desenvolvedor do Nx Console, que o TeamPCP usou para enviar uma compilação maliciosa do Nx Console 18.95.0 para o Visual Studio Marketplace.

A extensão trojanizada ficou ativa por exatamente 18 minutos, entre 12:30 e 12:48 UTC em 18 de maio de 2026. Essa janela foi suficiente. A extensão foi executada silenciosamente na inicialização, executando um comando shell disfarçado como uma tarefa de configuração de rotina do MCP que baixou um pacote oculto de um commit plantado no repositório oficial do Nx GitHub. O ladrão de credenciais implantado visava cofres 1Password, configurações de código Anthropic Claude, tokens npm, tokens GitHub e credenciais AWS em qualquer máquina de desenvolvedor que o instalasse durante a janela.

Um funcionário do GitHub instalou a extensão. O TeamPCP usou as credenciais coletadas para passar pelos pipelines de CI/CD e exfiltrar aproximadamente 3.800 repositórios internos. O CISO do GitHub, Alexis Wales, confirmou que a empresa não tem "nenhuma evidência de impacto nas informações do cliente armazenadas fora dos repositórios internos do GitHub", embora Wales tenha reconhecido que alguns repositórios internos contêm trechos de interações de suporte ao cliente e se comprometeu a notificar os clientes se algum impacto for descoberto.

O que foi tomado e quem está em risco

A OpenAI confirmou que dois dispositivos de funcionários foram comprometidos, com material de credencial limitado exfiltrado de um subconjunto de repositórios internos de código-fonte. A empresa contratou uma empresa terceirizada de perícia digital e resposta a incidentes e está revogando totalmente seu certificado de assinatura de aplicativos do macOS em 12 de junho de 2026. A Mistral AI confirmou que seus SDKs npm e PyPI foram atacados por cavalos de troia como parte da mesma campanha, com a TeamPCP anunciando repositórios de código da Mistral AI para venda em um fórum de crimes cibernéticos.

O fator comum entre todas as vítimas são as ferramentas de desenvolvimento. O ataque nunca precisou violar um perímetro. Ele entrou por meio de pacotes e extensões que os desenvolvedores instalam rotineiramente e, em seguida, coletou as credenciais que esses desenvolvedores usam para acessar todo o resto. A OpenAI enquadrou a implicação diretamente: "Esse incidente reflete uma mudança mais ampla no cenário de ameaças - os invasores estão cada vez mais visando dependências de software compartilhadas e ferramentas de desenvolvimento em vez de uma única empresa."

A violação ocorre no momento em que a Microsoft está lidando simultaneamente com sua própria vulnerabilidade não corrigida.