TeamPCP-Lieferkettenangriff: Vergiftete VS-Code-Erweiterung 18 Minuten aktiv, GitHub verliert 3.800 interne Repositories
Kurzfassung
Eine vergiftete Nx Console VS Code-Erweiterung war nur 18 Minuten aktiv, doch TeamPCP stahl 3.800 GitHub-interne Repositories, kompromittierte zwei OpenAI-Mitarbeitergeräte und bot Mistrals Quellcode in Untergrundforen an.
Am 18. Mai 2026 um 12:30 Uhr UTC erschien auf dem Visual Studio Marketplace ein Update der Nx Console VS Code-Erweiterung. Version 18.95.0 enthielt einen Credential-Harvester, der von der Bedrohungsgruppe TeamPCP, bei Mandiant als UNC6780 geführt, eingeschleust worden war. Die bösartige Version blieb exakt 18 Minuten aktiv.
Um 12:48 Uhr hatte ein GitHub-Entwickler die Erweiterung bereits installiert. Wenige Tage später bestätigte GitHub, dass rund 3.800 interne Repositories exfiltriert worden waren. OpenAI meldete, zwei Mitarbeitergeräte seien kompromittiert worden, mit begrenztem Zugriff auf interne Quellcode-Repositories. Mistrals npm- und PyPI-SDKs wurden mit einem Trojaner infiziert, und TeamPCP begann, Mistrals Quellcode-Repositories auf Cybercrime-Foren zum Verkauf anzubieten.
Die Angriffskampagne trägt den Namen Mini Shai-Hulud.
Die Angriffskette begann im npm-Ökosystem
Die Timeline beginnt am 11. Mai. TeamPCP infiltrierte zunächst das Router-Paketökosystem von TanStack und infizierte in einer koordinierten Aktion über 170 npm-Pakete und zwei PyPI-Pakete mit einem selbstreplizierenden Wurm.
Mini Shai-Hulud stiehlt die CI/CD-Zugangsdaten der Entwickler und nutzt diese, um neue infizierte Paketversionen zu veröffentlichen und sich weiter im Abhängigkeitsgraph auszubreiten. Sobald der Wurm in einer CI/CD-Pipeline verankert ist, läuft die Verbreitung ohne weiteres menschliches Zutun.
Nx Console war ein Glied in dieser Kette. Das Werkzeug hat 2,2 Millionen Installationen, konzentriert auf Engineering-Teams, die mit Nx-Monorepo-Architekturen arbeiten. Ein einziger Mitarbeiter, der auf Version 18.95.0 aktualisiert, reichte für TeamPCP, um einen ersten Einstiegspunkt zu schaffen.
Warum VS Code-Erweiterungen eine ernsthafte Angriffsfläche sind
Sicherheitsforscher Charlie Eriksen brachte es auf den Punkt: VS Code-Erweiterungen haben nach der Installation vollen Zugriff auf alles auf dem Entwicklerrechner, einschließlich Zugangsdaten, Cloud-Schlüsseln und SSH-Schlüsseln. Ein Sandboxing-Modell, wie es Browser-Erweiterungen kennen, existiert hier nicht.
Die bösartige Nx Console-Version führte beim Start einen Shell-Befehl aus, der als routinemäßige MCP-Einrichtungsaufgabe getarnt war, und lud eine Payload von einem kompromittierten GitHub-Repository herunter. Konkrete Ziele des Credential-Harvesters: 1Password-Tresore, Anthropic Claude-Konfigurationsdateien, npm-Token, GitHub-Token und AWS-Zugangsdaten.
Drei Opfer, drei verschiedene Schäden
GitHub: Rund 3.800 interne Repositories exfiltriert. GitHub bestätigte, dass keine Kundendaten außerhalb der eigenen internen Repositories betroffen waren. Dennoch haben interne Tools, CI/CD-Skripte und Service-Konfigurationscode in den falschen Händen erheblichen Wert für jeden, der einen größeren Angriff auf das Entwickler-Ökosystem plant.
OpenAI: Zwei Mitarbeitergeräte kompromittiert; eine begrenzte Menge an Zugangsdaten aus einem Teil der internen Quellcode-Repositories wurde extrahiert. Als Reaktion darauf wird OpenAI am 12. Juni sein macOS-Anwendungs-Code-Signing-Zertifikat widerrufen und alle Nutzer zur Neuinstallation auffordern.
Mistral AI: npm- und PyPI-SDKs mit Trojaner infiziert. TeamPCP bewirbt Mistrals Quellcode-Repositories aktiv zum Kauf in Untergrundforums. Von den drei betroffenen Unternehmen ist Mistral der unmittelbarsten und greifbarsten Gefährdung ausgesetzt.
Die Zielauswahl war kalkuliert
Nx Consoles 2,2 Millionen Installationen boten eine breite Angriffsfläche, doch die Verteilung dieser Installationen ist entscheidender als die reine Zahl. Nx wird überproportional von Entwicklern eingesetzt, die umfangreiche Multi-Service-Codebases in Organisationen mit erheblicher Infrastruktur verwalten. Hohe Zugriffsrechte und hochwertige Zugangsdaten machen diese Zielgruppe zu einem präzisen, nicht nur großen Ziel.
KI-Unternehmen als Infrastrukturziele
Vergangene Woche veröffentlichte Anthropic die Ergebnisse des ersten Monats von Project Glasswing: Claude Mythos Preview entdeckte autonom über 10.000 kritische Sicherheitslücken in 1.000 Open-Source-Projekten. Das war KI im defensiven Einsatz.
Die TeamPCP-Kampagne zeigt die andere Seite. Entwicklungsumgebungen von KI-Unternehmen sind zu wertvollen Zielen für Lieferkettenangreifer geworden. Quellcode und API-Zugangsdaten aus Laboren wie OpenAI oder Mistral bieten erheblichen Hebel für nachgelagerte Angriffe im gesamten Entwickler-Ökosystem.
Für Enterprise-Sicherheitsteams verdient die Verwaltung von VS Code-Erweiterungen dieselbe formale Behandlung wie das Management von Drittanbieter-Abhängigkeiten. Die Prüfmechanismen des Marketplace sind nicht für einen Angreifer ausgelegt, der so geduldig und koordiniert vorgeht wie TeamPCP.
Wenn dieser Artikel hilfreich war, abonniere den Newsletter für wöchentliche KI-PM-Einblicke.
Weiterführende Lektüre:
Verwandte Artikel
ChatGPT Lockdown Mode: OpenAIs Schutzwall gegen Prompt-Injection-Angriffe
OpenAI hat am 6. Juni den Lockdown Mode eingeführt: Nutzer können ChatGPTs Netzwerkzugriff einschränken, um Datenlecks durch Prompt-Injection-Angriffe zu minimieren. Für alle Konten verfügbar.
GPT-5.6 Sol gestartet, aber gesperrt: Wie Washington den Zugang zu KI-Spitzenmodellen kontrolliert
GPT-5.6 Sol wurde am 26. Juni veröffentlicht, ist aber nur für 20 von der US-Regierung geprüfte Partner zugänglich. Die Benchmark-Zahlen sind sekundär gegenüber dem neuen Governance-Muster.