La extensión Nx Console con troyano estuvo disponible solo 18 minutos, pero bastó para que una actualización automática en el VS Code de un empleado de GitHub capturara tokens, claves SSH y credenciales de herramientas de IA.
La operación venía de antes: TeamPCP ya había contaminado paquetes de TanStack y después subió versiones maliciosas de durabletask a PyPI, creando una ruta tipo gusano por herramientas de desarrollo confiadas.
Para las empresas de IA, el daño supera el robo de código: scripts de entrenamiento, herramientas de evaluación y credenciales de agentes pueden revelar cómo se construyen y protegen los modelos.
Fuentes: The Hacker News, Help Net Security, Phoenix Security, Notebookcheck, Tech Times; CocoLoop