L’extension Nx Console compromise n’a été disponible que 18 minutes, mais cela a suffi pour qu’une mise à jour automatique sur le poste d’un employé GitHub récupère tokens, clés SSH et identifiants d’outils IA.
L’attaque avait commencé plus tôt avec des paquets TanStack empoisonnés, puis des versions durabletask malveillantes sur PyPI, dessinant une propagation par des outils développeurs de confiance.
Pour les sociétés d’IA, le risque dépasse le code source: scripts d’entraînement, outils d’évaluation et accès d’agents peuvent révéler comment les modèles sont construits, testés et protégés.
Sources: The Hacker News, Help Net Security, Phoenix Security, Notebookcheck, Tech Times; CocoLoop