VS Code tedarik zinciri saldırısı GitHub, OpenAI ve Mistral AI'yi vurdu

GitHub bugün, yaklaşık 3.800 dahili deponun ihlalinin, TanStack npm tedarik zinciri saldırısının bir zayiatı olan Nx Console VS Code uzantısının zehirli bir sürümüne dayandığını doğruladı. Tehdit aktörü grubu TeamPCP'ye atfedilen ve kod adı Mini Shai-Hulud olan kampanya şu anda GitHub, OpenAI ve Mistral AI'yı onaylanmış kurbanlar olarak iddia etti ve her üçünde de geliştirici kimlik bilgileri ve dahili kaynak kodu birincil hedefler oldu.

18 dakikada GitHub, OpenAI ve Mistral AI nasıl çökertildi?

Saldırı başladı 11 Mayıs 2026'da TeamPCP, TanStack'in tüm yönlendirici ekosistemini tehlikeye atarak solucan benzeri bir yükü 170 npm paketine ve iki PyPI paketine tek bir koordineli kampanyada yaydı. CVE-2026-45321, 9.6 CVSS puanı taşımaktadır. Oradan, uzlaşma TeamPCP'nin Visual Studio Marketplace'e kötü amaçlı bir Nx Console 18.95.0 derlemesi göndermek için kullandığı bir Nx Console geliştiricisinin cihazına ulaştı.

Truva atlı uzantı, 18 Mayıs 2026'da 12:30 ile 12:48 UTC saatleri arasında tam 18 dakika boyunca yayında kaldı. Bu süre yeterliydi. Başlangıçta sessizce çalışan uzantı, rutin bir MCP kurulum görevi olarak gizlenmiş bir kabuk komutu çalıştırarak resmi Nx GitHub deposuna yerleştirilmiş bir commit'ten gizli bir paket indirdi. Dağıttığı kimlik bilgisi hırsızı, 1Password kasalarını, Anthropic Claude kod yapılandırmalarını, npm belirteçlerini, GitHub belirteçlerini ve pencere sırasında onu yükleyen herhangi bir geliştirici makinesindeki AWS kimlik bilgilerini hedef aldı.

Uzantıyı bir GitHub çalışanı yükledi. TeamPCP, toplanan kimlik bilgilerini CI/CD boru hatlarında ilerlemek ve yaklaşık 3.800 dahili depoya sızmak için kullandı. GitHub CISO'su Alexis Wales, şirketin "GitHub'ın dahili depoları dışında depolanan müşteri bilgilerinin etkilendiğine dair bir kanıt olmadığını" doğruladı, ancak Wales bazı dahili depoların müşteri destek etkileşimlerinin alıntılarını içerdiğini kabul etti ve herhangi bir etki keşfedilirse müşterileri bilgilendirmeyi taahhüt etti.

Ne alındı ve kimler risk altında

OpenAI onaylandı iki çalışan cihazının güvenliği ihlal edilmiş ve dahili kaynak kodu depolarının bir alt kümesinden sınırlı kimlik bilgisi materyali sızdırılmıştır. Şirket, üçüncü taraf bir dijital adli tıp ve olay müdahale firması ile anlaştı ve macOS uygulama imzalama sertifikasını 12 Haziran 2026 tarihinde tamamen iptal etti. Mistral AI, npm ve PyPI SDK'larının aynı kampanyanın bir parçası olarak trojanlandığını ve TeamPCP'nin bir siber suç forumunda satılık Mistral AI kod depolarının reklamını yaptığını doğruladı.

Tüm kurbanlar arasındaki ortak faktör geliştirici araçlarıdır. Saldırının hiçbir zaman bir çevreyi ihlal etmesi gerekmedi. Geliştiricilerin rutin olarak yükledikleri paketler ve uzantılar aracılığıyla içeri girdi ve ardından bu geliştiricilerin diğer her şeye erişmek için kullandıkları kimlik bilgilerini topladı. OpenAI imayı doğrudan çerçeveledi: "Bu olay tehdit ortamındaki daha geniş bir değişimi yansıtmaktadır - saldırganlar tek bir şirket yerine giderek artan bir şekilde paylaşılan yazılım bağımlılıklarını ve geliştirme araçlarını hedef almaktadır."

İhlal, Microsoft'un aynı anda kendi sorunlarıyla uğraştığı bir dönemde gerçekleşti yamalanmamış güvenlik açığı.