A extensão Nx Console com trojan ficou exposta por apenas 18 minutos, mas bastou para uma atualização automática no VS Code de um funcionário da GitHub capturar tokens, chaves SSH e credenciais de ferramentas de IA.
A operação vinha de antes: a TeamPCP já havia contaminado pacotes TanStack e depois publicou versões maliciosas do durabletask no PyPI, criando uma rota tipo worm por ferramentas confiáveis de desenvolvedores.
Para empresas de IA, o dano vai além do código-fonte, pois scripts de treino, ferramentas de avaliação e credenciais de agentes podem revelar como os modelos são treinados, testados e protegidos.
Fontes: The Hacker News, Help Net Security, Phoenix Security, Notebookcheck, Tech Times; CocoLoop