Tiện ích VS Code nhiễm độc làm lộ 3.800 kho GitHub

Tiện ích Nx Console bị cài trojan chỉ tồn tại 18 phút, nhưng đủ để một máy của nhân viên GitHub tự cập nhật VS Code và làm lộ token, khóa SSH cùng cấu hình công cụ AI.

Chiến dịch đã bắt đầu trước đó với các gói TanStack bị đầu độc, rồi tiếp tục bằng những bản durabletask độc hại trên PyPI, tạo đường lan qua các công cụ lập trình vốn được tin cậy.

Với công ty AI, thiệt hại không chỉ là mã nguồn: script huấn luyện, công cụ đánh giá và thông tin agent có thể tiết lộ cách mô hình được xây, kiểm thử và bảo vệ.

Nguồn tham khảo: The Hacker News, Help Net Security, Phoenix Security, Notebookcheck, Tech Times; CocoLoop