### GitHubの公式声明 **GitHub**の最高情報セキュリティ責任者であるAlexis Wales氏は、この侵害は**Nx Console** **VS Code**拡張機能の乗っ取りの結果であると述べました。「**GitHub**の内部リポジトリの外に保存されている顧客情報、例えば顧客自身の企業、組織、リポジトリへの影響を示す証拠はありません」と同氏は声明で述べています。しかし、一部の内部リポジトリにはサポート対応から得られた顧客情報が含まれており、影響を受けた顧客には確立されたチャネルを通じて通知されます。 ### 攻撃の範囲 この攻撃により、**TeamPCP**と特定された脅威アクターは約3,800のリポジトリを窃取できたと報告されています。**GitHub**は、重要なシークレットのローテーションや、さらなる悪意のあるアクティビティの継続的な監視を含む、インシデント封じ込めのための措置を講じています。 ### Nx Consoleの侵害 **Nx**チームは、最近の**TanStack**サプライチェーン攻撃に関連して、開発者の一人のシステムがハッキングされた結果、**nrwl.angular-console**拡張機能が侵害されたことを明らかにしました。**TanStack**の侵害の他の被害者には、**OpenAI**、**Mistral AI**、**Grafana Labs**が含まれます。 ### 業界の対応 nx.devの背後にある企業である**Narwhal Technologies**の共同創設者であるJeff Cross氏は、開発者ツールのセキュリティとオープンソース配布におけるより根本的な変更の必要性を強調しました。彼はツイートで、「このインシデントは、私たちや他のメンテナーが開発者ツールのセキュリティとオープンソース配布のあり方について、より深く、より根本的な変更が必要であることを示しています」と述べました。 彼は、ソフトウェアサプライチェーンセキュリティを取り巻くより深い構造的な問題に対処するために、他の著名なオープンソースメンテナーとの議論を開始していると付け加えました。 ### TeamPCPの悪名高まり **TeamPCP**は、大規模なソフトウェアサプライチェーン攻撃を組織し、特に広く使用されているオープンソースプロジェクトや、開発者が依存するセキュリティ関連ツールを標的とすることで、急速に注目を集めています。 ### トロイの木馬化された拡張機能の短い期間 **VS Code**拡張機能のトロイの木馬化されたバージョンは、Visual Studio Marketplaceでわずか18分間（2026年5月18日UTC 12:30から12:48）しかアクティブではありませんでした。この短い期間にもかかわらず、攻撃者は**1Password**のボールト、**Anthropic Claude Code**の設定、npm、**GitHub**、**Amazon Web Services (AWS)**から機密データを収集できる認証情報窃盗犯を配布することに成功しました。 ### 技術的分析 **OX Security**の研究者であるNir Zadok氏によると、「拡張機能は通常の**Nx Console**のように見え、動作しましたが、起動時に公式のnrwl/nx **GitHub**リポジトリに仕込まれたコミットから隠しパッケージをダウンロードして実行する単一のシェルコマンドをサイレントに実行しました。コマンドは、疑いを抱かせないように、通常のMCPセットアップタスクとして偽装されていました。」 ### 侵害の自己維持サイクル 現代のソフトウェアの相互接続された性質により、**TeamPCP**は侵害の自己維持サイクルを作成できます。一つの信頼されたツールに侵入することで、開発者システムから認証情報を盗み、それらの認証情報を使用して後続の正規ツールを侵害します。 ### 自動更新のジレンマ Aikidoセキュリティ研究者のRaphael Silva氏は、拡張機能マーケットプレイスの自動更新機能についてコメントしました。「すべての人気のある拡張機能マーケットプレイスは、デフォルトで自動更新を備えています。**VS Code**、Cursor、すべてです。ほとんどの開発者は手動で何も更新しないため、エディタの長いテールが古い、脆弱なコードを実行し続けることになるため、その理由は単独では理にかなっています。」 彼はさらにトレードオフを説明しました。「攻撃的な/侵害された発行者を考慮に入れると、トレードオフは意味をなさなくなります。自動更新は、リリースを制御する攻撃者に、その拡張機能を実行しているすべてのマシンへの直接プッシュチャネルを提供します。マーケットプレイスは、更新が発行されてからインストール済みのクライアントがそれをプルするまでの間に、レビューゲートや待機期間を課しません。」