L'attaque de la chaîne d'approvisionnement de VS Code touche GitHub, OpenAI et Mistral AI

GitHub a confirmé aujourd'hui que la violation d'environ 3 800 référentiels internes remonte à une version empoisonnée de l'extension Nx Console VS Code, elle-même victime de l'attaque de la chaîne d'approvisionnement npm de TanStack. La campagne, attribuée au groupe d'acteurs de la menace TeamPCP et dont le nom de code est Mini Shai-Hulud, a désormais fait des victimes confirmées de GitHub, OpenAI et Mistral AI, les identifiants des développeurs et le code source interne étant les principales cibles dans les trois cas.

Comment 18 minutes ont fait tomber GitHub, OpenAI et Mistral AI

L'attaque a commencé le 11 mai 2026, lorsque TeamPCP a compromis l'ensemble de l'écosystème de routeurs de TanStack, en diffusant une charge utile de type ver à travers 170 paquets npm et deux paquets PyPI dans le cadre d'une seule campagne coordonnée. CVE-2026-45321 a un score CVSS de 9,6. De là, la compromission a atteint l'appareil d'un développeur de Nx Console, que TeamPCP a utilisé pour diffuser une version malveillante de Nx Console 18.95.0 sur le Visual Studio Marketplace.

L'extension trojanisée est restée en ligne pendant exactement 18 minutes, entre 12 h 30 et 12 h 48 (UTC) le 18 mai 2026. Cette fenêtre a suffi. L'extension fonctionnait silencieusement au démarrage, exécutant une commande shell déguisée en tâche d'installation MCP de routine qui téléchargeait un paquet caché à partir d'un commit planté sur le dépôt GitHub officiel de Nx. Le voleur d'informations d'identification qu'il a déployé a ciblé les coffres-forts 1Password, les configurations de code d'Anthropic Claude, les jetons npm, les jetons GitHub et les informations d'identification AWS sur toute machine de développeur qui l'a installé pendant la fenêtre.

Un employé de GitHub a installé l'extension. TeamPCP a utilisé les identifiants récoltés pour se déplacer dans les pipelines CI/CD et exfiltrer environ 3 800 référentiels internes. Alexis Wales, RSSI de GitHub, a confirmé que l'entreprise n'avait "aucune preuve d'impact sur les informations des clients stockées en dehors des référentiels internes de GitHub", bien que Wales ait reconnu que certains référentiels internes contenaient des extraits d'interactions avec le support client et s'est engagé à notifier les clients si un impact est découvert.

Ce qui a été pris, et qui est en danger

OpenAI a confirmé que deux appareils d'employés ont été compromis et que des informations d'identification limitées ont été exfiltrées d'un sous-ensemble de référentiels de code source internes. L'entreprise a fait appel à une société tierce d'investigation numérique et de réponse aux incidents et révoque intégralement son certificat de signature d'applications macOS le 12 juin 2026. Mistral AI a confirmé que ses SDK npm et PyPI ont été victimes d'un cheval de Troie dans le cadre de la même campagne, TeamPCP ayant annoncé la vente des dépôts de code de Mistral AI sur un forum de cybercriminalité.

Le facteur commun à toutes les victimes est l'outil de développement. L'attaque n'a jamais eu besoin de franchir un périmètre. Elle s'est introduite par le biais de paquets et d'extensions que les développeurs installent régulièrement, puis a récolté les informations d'identification que ces développeurs utilisent pour accéder à tout le reste. L'OpenAI a formulé l'implication directement : "Cet incident reflète une évolution plus large du paysage des menaces : les attaquants ciblent de plus en plus les dépendances logicielles et les outils de développement partagés plutôt qu'une seule entreprise

La brèche survient alors que Microsoft s'occupe en même temps de sa propre vulnérabilité non corrigée.