VS-Code-Supply-Chain-Angriff trifft GitHub, OpenAI und Mistral AI

GitHub bestätigte heute, dass der Angriff auf rund 3.800 interne Repositories auf eine manipulierte Version der Visual Studio Code-Erweiterung „Nx Console“ zurückzuführen ist, die selbst Opfer der TanStack-npm-Supply-Chain-Attacke wurde. Die Kampagne, die der Bedrohungsakteurgruppe TeamPCP zugeschrieben wird und den Codenamen „Mini Shai-Hulud“ trägt, hat inzwischen auch GitHub, OpenAI und Mistral AI als bestätigte Opfer getroffen, wobei Entwicklerzugangsdaten und interner Quellcode in allen drei Fällen im Fokus standen.

Wie 18 Minuten GitHub, OpenAI und Mistral AI lahmlegten

Der Angriff begann am 11. Mai 2026, als TeamPCP das gesamte Router-Ökosystem von TanStack kompromittierte und in einer koordinierten Kampagne eine wurmartige Payload über 170 npm-Pakete sowie zwei PyPI-Pakete verbreitete. CVE-2026-45321 weist einen CVSS-Score von 9,6 auf. Von dort aus gelangte der Angriff auf das System eines Nx-Console-Entwicklers, das TeamPCP nutzte, um eine manipulierte Version von Nx Console 18.95.0 im Visual Studio Marketplace zu veröffentlichen.

Die mit einem Trojaner infizierte Erweiterung war genau 18 Minuten lang aktiv, zwischen 14:30 Uhr und 14:48 Uhr MEZ am 18. Mai 2026. Dennoch reichte dieses kurze Zeitfenster aus. Die Erweiterung lief beim Systemstart im Hintergrund und führte einen Shell-Befehl aus, der als routinemäßige MCP-Setup-Aufgabe getarnt war und ein verstecktes Paket aus einem präparierten Commit im offiziellen Nx-GitHub-Repository herunterlud. Der eingesetzte Credential-Stealer zielte auf 1Password-Tresore, Anthropic-Claude-Code-Konfigurationen, npm-Tokens, GitHub-Tokens sowie AWS-Anmeldedaten auf allen Entwicklerrechnern ab, auf denen die Erweiterung während dieses Zeitfensters installiert war.

Ein GitHub-Mitarbeiter hatte die Erweiterung installiert. TeamPCP nutzte die erbeuteten Zugangsdaten, um sich lateral durch CI/CD-Pipelines zu bewegen und Daten aus rund 3.800 internen Repositories zu exfiltrieren. GitHub-CISO Alexis Wales bestätigte, dass dem Unternehmen „keine Hinweise auf Auswirkungen auf Kundendaten vorliegen, die außerhalb der internen GitHub-Repositories gespeichert sind“. Gleichzeitig räumte er ein, dass einige interne Repositories Auszüge aus Kundensupport-Interaktionen enthalten, und sicherte zu, betroffene Kunden zu benachrichtigen, falls entsprechende Auswirkungen festgestellt werden.

Was wurde gestohlen und wer ist gefährdet?

OpenAI bestätigte, dass zwei Mitarbeitergeräte kompromittiert wurden und dabei begrenzte Zugangsdaten aus Teilen interner Quellcode-Repositories entwendet wurden. Das Unternehmen beauftragte eine externe Firma für digitale Forensik und Incident Response und kündigte an, sein macOS-App-Signaturzertifikat zum 12. Juni 2026 vollständig zu widerrufen. Mistral AI bestätigte zudem, dass npm- und PyPI-SDKs im Rahmen derselben Kampagne mit einem Trojaner infiziert wurden. Außerdem bot TeamPCP Mistral-AI-Code-Repositories in einem Cybercrime-Forum zum Verkauf an.

Der gemeinsame Faktor aller betroffenen Organisationen sind Entwicklertools. Der Angriff umging klassische Sicherheitsperimeter vollständig, indem er über Pakete und Erweiterungen eindrang, die Entwickler routinemäßig installieren, und anschließend die darüber erreichbaren Zugangsdaten abgriff. OpenAI formulierte die Implikation deutlich: „Dieser Vorfall spiegelt eine umfassendere Verschiebung in der Bedrohungslandschaft wider – Angreifer zielen zunehmend auf gemeinsam genutzte Software-Abhängigkeiten und Entwicklungstools ab, anstatt auf ein einzelnes Unternehmen.“

Dieser Vorfall ereignet sich zu einem Zeitpunkt, an dem Microsoft gleichzeitig mit einer eigenen, noch nicht gepatchten Sicherheitslücke konfrontiert ist.