Jendela kompromi ekstensi Nx Console yang disisipi trojan hanya 18 menit, tetapi cukup untuk pembaruan VS Code seorang karyawan GitHub mencuri token, kunci SSH, dan kredensial alat AI.
Serangan itu sudah disiapkan lebih awal lewat paket TanStack yang tercemar dan rilis durabletask berbahaya di PyPI, membentuk jalur seperti worm melalui alat pengembang tepercaya.
Bagi perusahaan AI, kerugiannya lebih luas dari pencurian kode karena skrip pelatihan, alat evaluasi, dan kredensial agen bisa membocorkan cara sistem model dibangun dan diamankan.
Sumber: The Hacker News, Help Net Security, Phoenix Security, Notebookcheck, Tech Times; CocoLoop