Una extensión contaminada de VS Code expone 3.800 repos de GitHub

La extensión Nx Console con troyano estuvo disponible solo 18 minutos, pero bastó para que una actualización automática en el VS Code de un empleado de GitHub capturara tokens, claves SSH y credenciales de herramientas de IA.

La operación venía de antes: TeamPCP ya había contaminado paquetes de TanStack y después subió versiones maliciosas de durabletask a PyPI, creando una ruta tipo gusano por herramientas de desarrollo confiadas.

Para las empresas de IA, el daño supera el robo de código: scripts de entrenamiento, herramientas de evaluación y credenciales de agentes pueden revelar cómo se construyen y protegen los modelos.

Fuentes: The Hacker News, Help Net Security, Phoenix Security, Notebookcheck, Tech Times; CocoLoop