Bemerkenswert an dem Vorfall ist das kurze Zeitfenster: Die trojanisierte Version der Erweiterung war nach Angaben der Quelle nur 18 Minuten lang auf dem Visual Studio Marketplace verfügbar (zwischen 12:30 und 12:48 Uhr UTC am 18. Mai 2026). Diese Spanne reichte den Angreifern jedoch, um einen Zugangsdaten-Dieb zu verteilen, der sensible Daten aus 1Password-Tresoren, Konfigurationen von Anthropic Claude Code sowie von npm, GitHub und Amazon Web Services (AWS) abgreifen konnte.
Laut Nir Zadok, Forscher bei OX Security, sah und verhielt sich die Erweiterung wie eine normale Nx Console. Beim Start führte sie jedoch im Verborgenen einen einzelnen Shell-Befehl aus, der ein verstecktes Paket aus einem eingeschleusten Commit im offiziellen GitHub-Repository nrwl/nx herunterlud und ausführte. Der Befehl sei als routinemäßige MCP-Einrichtung getarnt gewesen, um keinen Verdacht zu erregen.
GitHub erklärte, man habe Maßnahmen zur Eindämmung ergriffen und kritische Geheimnisse rotiert; die Lage werde weiter auf Folgeaktivitäten beobachtet. TeamPCP hat sich nach Angaben der Quelle in den vergangenen Monaten rasch einen Namen mit groß angelegten Angriffen auf Software-Lieferketten gemacht und dabei gezielt weitverbreitete Open-Source-Projekte sowie sicherheitsnahe Werkzeuge ins Visier genommen, auf die Entwickler angewiesen sind.
Das Muster ist dabei ebenso einfach wie perfide: Eindringen in ein vertrauenswürdiges Werkzeug, Diebstahl von Zugangsdaten aus Entwicklersystemen, die es installieren, und Nutzung dieser Zugangsdaten für den Einbruch in das nächste legitime Werkzeug. Die enge Verzahnung moderner Software ermögliche so einen sich selbst tragenden Kreislauf neuer Kompromittierungen.
Jeff Cross, Mitgründer von Narwhal Technologies, dem Unternehmen hinter nx.dev, schrieb auf X, der Vorfall mache deutlich, dass es tiefergehender, grundlegender Veränderungen bedürfe, wie Maintainer über die Absicherung von Entwicklerwerkzeugen und die Verteilung von Open Source denken müssten. Man beginne zudem Gespräche mit anderen prominenten Open-Source-Maintainern über die strukturellen Probleme rund um die Sicherheit der Software-Lieferkette; viele Annahmen, unter denen das Ökosystem jahrelang gearbeitet habe, hielten nicht mehr stand.
Raphael Silva, Sicherheitsforscher bei Aikido, verwies auf die automatische Aktualisierung, die in den großen Erweiterungs-Marktplätzen wie VS Code und Cursor standardmäßig aktiviert sei. Für sich genommen sei das sinnvoll, da die meisten Entwickler nichts manuell aktualisierten. Sobald man jedoch feindselige oder kompromittierte Anbieter berücksichtige, kippe die Rechnung: Die automatische Aktualisierung verschaffe einem Angreifer, der eine Veröffentlichung kontrolliert, einen direkten Verbreitungskanal auf jede Maschine, auf der die Erweiterung läuft. Die Marktplätze sähen zwischen Veröffentlichung eines Updates und dem Abruf durch die installierten Clients weder eine Prüfung noch eine Wartezeit vor.
