El ataque a la cadena de suministro de VS Code afecta a GitHub, OpenAI y Mistral AI

GitHub ha confirmado hoy que la violación de unos 3.800 repositorios internos se remonta a una versión envenenada de la extensión Nx Console VS Code, a su vez víctima del ataque a la cadena de suministro TanStack npm. La campaña, atribuida al grupo de actores de amenazas TeamPCP y cuyo nombre en clave es Mini Shai-Hulud, se ha cobrado ahora GitHub, OpenAI y Mistral AI como víctimas confirmadas, siendo las credenciales de los desarrolladores y el código fuente interno los objetivos principales en los tres.

Cómo 18 minutos derribaron GitHub, OpenAI y Mistral AI

El ataque comenzó el 11 de mayo de 2026, cuando TeamPCP comprometió todo el ecosistema de routers de TanStack, propagando una carga útil similar a un gusano a través de 170 paquetes npm y dos paquetes PyPI en una única campaña coordinada. CVE-2026-45321 lleva una puntuación CVSS de 9,6. A partir de ahí, el compromiso llegó a un dispositivo de desarrollador de Nx Console, que TeamPCP utilizó para empujar una compilación maliciosa de Nx Console 18.95.0 al Visual Studio Marketplace.

La extensión troyanizada estuvo activa exactamente 18 minutos, entre las 12:30 pm y las 12:48 pm UTC del 18 de mayo de 2026. Esa ventana fue suficiente. La extensión se ejecutaba silenciosamente al iniciarse, ejecutando un comando shell disfrazado de tarea rutinaria de configuración de MCP que descargaba un paquete oculto desde un commit plantado en el repositorio oficial de Nx en GitHub. El ladrón de credenciales que desplegaba apuntaba a bóvedas de 1Password, configuraciones de código de Anthropic Claude, tokens de npm, tokens de GitHub y credenciales de AWS en cualquier máquina de desarrollador que lo instalara durante la ventana.

Un empleado de GitHub instaló la extensión. TeamPCP utilizó las credenciales cosechadas para moverse a través de los pipelines CI/CD y exfiltrar aproximadamente 3.800 repositorios internos. El CISO de GitHub, Alexis Wales, confirmó que la compañía no tiene "ninguna evidencia de impacto en la información de los clientes almacenada fuera de los repositorios internos de GitHub", aunque Wales reconoció que algunos repos internos contienen extractos de interacciones de soporte al cliente y se comprometió a notificar a los clientes si se descubre algún impacto.

Qué fue sustraído y quién está en riesgo

OpenAI confirmó dos dispositivos de empleados fueron comprometidos, con material limitado de credenciales exfiltrado de un subconjunto de repositorios de código fuente interno. La compañía contrató a una empresa forense digital de terceros y de respuesta a incidentes y está revocando su certificado de firma de aplicaciones macOS en su totalidad el 12 de junio de 2026. Mistral AI confirmó que sus SDKs npm y PyPI fueron troyanizados como parte de la misma campaña, con TeamPCP anunciando los repositorios de código de Mistral AI a la venta en un foro de ciberdelincuencia.

El factor común entre todas las víctimas son las herramientas para desarrolladores. El ataque nunca necesitó violar un perímetro. Entró a través de paquetes y extensiones que los desarrolladores instalan rutinariamente, y luego cosechó las credenciales que esos desarrolladores utilizan para acceder a todo lo demás. OpenAI enmarcó la implicación directamente: "Este incidente refleja un cambio más amplio en el panorama de las amenazas: los atacantes se dirigen cada vez más a las dependencias de software compartidas y a las herramientas de desarrollo en lugar de a una sola empresa"

La brecha aterriza cuando Microsoft está lidiando simultáneamente con su propia vulnerabilidad sin parche.