VS Code 供应链攻击袭击 GitHub、OpenAI 和 Mistral AI

GitHub 今天证实，大约 3,800 个内部软件源的漏洞可追溯到一个中毒版本的 Nx Console VS Code 扩展，它本身就是 TanStack npm 供应链攻击的牺牲品。该活动由威胁行为者组织 TeamPCP 发起，代号为 Mini Shai-Hulud，目前已确认 GitHub、OpenAI 和 Mistral AI 为受害者，开发人员凭证和内部源代码是这三个组织的主要目标。

18 分钟如何导致 GitHub、OpenAI 和 Mistral AI 崩溃

攻击开始于2026 年 5 月 11 日，TeamPCP 入侵了 TanStack 的整个路由器生态系统，在一次协调活动中，通过 170 个 npm 包和两个 PyPI 包传播了蠕虫式有效载荷。CVE-2026-45321 的 CVSS 得分为 9.6。从那里，入侵者到达了一个 Nx Console 开发人员的设备，TeamPCP 利用该设备向 Visual Studio Marketplace 推送了恶意构建的 Nx Console 18.95.0。

在世界协调时 2026 年 5 月 18 日中午 12:30 至 12:48 期间，该木马扩展上线时间正好为 18 分钟。这个窗口足够了。该扩展在启动时悄无声息地运行，执行一个伪装成常规 MCP 设置任务的 shell 命令，从 Nx GitHub 官方资源库上的一个被植入的提交中下载一个隐藏软件包。它部署的凭据窃取程序针对的是在窗口期间安装它的任何开发人员机器上的 1Password 金库、Anthropic Claude 代码配置、npm 令牌、GitHub 令牌和 AWS 凭据。

一名 GitHub 员工安装了该扩展。TeamPCP 利用获取的凭据在 CI/CD 管道中移动，并渗入约 3,800 个内部软件源。GitHub CISO Alexis Wales 证实，该公司 "没有证据表明存储在 GitHub 内部存储库之外的客户信息受到影响"，但 Wales 承认一些内部存储库包含客户支持交互的摘录，并承诺如果发现任何影响，将通知客户。

采取了哪些措施，哪些人面临风险

OpenAI 证实两台员工设备被入侵，从部分内部源代码库中流出了有限的凭证材料。该公司聘请了一家第三方数字取证和事件响应公司，并将于 2026 年 6 月 12 日全面撤销其 macOS 应用程序签名证书。Mistral AI 证实其 npm 和 PyPI SDK 在同一活动中被植入木马，TeamPCP 在一个网络犯罪论坛上发布了出售 Mistral AI 代码库的广告。

所有受害者的共同点是开发工具。这种攻击从来不需要入侵外围。它通过开发人员经常安装的软件包和扩展进入，然后获取这些开发人员用来访问其他一切的凭据。OpenAI 直接阐述了其中的含义："这一事件反映了威胁形势的广泛变化--攻击者越来越多地将共享软件依赖性和开发工具作为攻击目标，而不是任何一家公司。

此次漏洞事件发生时，微软正在同时处理自己的 未修补漏洞.