Extensão contaminada do VS Code expõe 3.800 repositórios do GitHub

A extensão Nx Console com trojan ficou exposta por apenas 18 minutos, mas bastou para uma atualização automática no VS Code de um funcionário da GitHub capturar tokens, chaves SSH e credenciais de ferramentas de IA.

A operação vinha de antes: a TeamPCP já havia contaminado pacotes TanStack e depois publicou versões maliciosas do durabletask no PyPI, criando uma rota tipo worm por ferramentas confiáveis de desenvolvedores.

Para empresas de IA, o dano vai além do código-fonte, pois scripts de treino, ferramentas de avaliação e credenciais de agentes podem revelar como os modelos são treinados, testados e protegidos.

Fontes: The Hacker News, Help Net Security, Phoenix Security, Notebookcheck, Tech Times; CocoLoop