Nach Darstellung von GitHub gelang den Angreifern der Zugriff auf die internen Repositories über das kompromittierte Gerät eines Mitarbeiters. Auf diesem lief eine manipulierte Fassung der Nx-Console-Erweiterung für VS Code. Die als TeamPCP bezeichnete Cyberkriminellen-Gruppe konnte auf diesem Weg rund 3.800 Repositories exfiltrieren.

GitHub erklärte, man habe Schritte zur Eindämmung des Vorfalls unternommen und kritische Geheimnisse rotiert. Zudem beobachte das Unternehmen die Situation weiterhin auf mögliche Folgeaktivitäten.

Das Nx-Team führte aus, dass die betroffene Erweiterung nrwl.angular-console kompromittiert wurde, nachdem das System eines seiner Entwickler gehackt worden war. Dies geschah im Nachgang zum jüngsten Supply-Chain-Angriff auf TanStack. Von der TanStack-Kompromittierung waren den Angaben zufolge weitere Unternehmen betroffen, darunter OpenAI, Mistral AI und Grafana Labs.

Grafana Labs wurde zusätzlich Ziel eines Erpressungsversuchs. Das Unternehmen gab jedoch an, sich geweigert zu haben, an die Angreifer zu zahlen, die mit der Veröffentlichung des Quellcodes gedroht hatten.

Diese Fälle sind nach der Quelle nur einige Beispiele für die lange Kette nachgelagerter Opfer aus der Mini-Shai-Hulud-Kampagne. In Kombination mit der öffentlichen Freigabe des Shai-Hulud-Codes durch TeamPCP markiere dies eine erhebliche Weiterentwicklung der Bedrohungen für Software-Lieferketten: Angreifer erhalten damit eine fertige Bauanleitung, um ähnliche Würmer zu entwickeln, die auf Open-Source-Repositories und Entwicklungsumgebungen abzielen.

Daneben verweist die wöchentliche Übersicht auf eine Reihe besonders schwerwiegender oder bereits aktiv angegriffener Schwachstellen, die vorrangig gepatcht werden sollten. Als dringend markiert sind unter anderem CVE-2026-48172 (LiteSpeed User-End cPanel Plugin), CVE-2026-34926 (Trend Micro Apex One), CVE-2026-20223 (Cisco Secure Workload), CVE-2026-41091, CVE-2026-45498 und CVE-2026-45584 (Microsoft Defender), CVE-2026-46333 (Linux-Kernel), CVE-2026-9082 (Drupal Core) sowie CVE-2026-45585 (Microsoft Windows BitLocker).

Weitere genannte Lücken betreffen unter anderem SEPPMail (CVE-2026-2743), SGLang (CVE-2026-7301, CVE-2026-7302, CVE-2026-7304), cPanel (CVE-2026-29205), den Amazon-Redshift-JDBC-Treiber (CVE-2026-8178), MongoDB (CVE-2026-8053), ChromaDB (CVE-2026-45829, auch ChromaToast genannt), Universal Robots PolyScope 5 (CVE-2026-8153), ExifTool (CVE-2026-3102), Google Chrome (CVE-2026-9110, CVE-2026-9111 sowie CVE-2026-8511 bis CVE-2026-8522), Apache OFBiz (CVE-2026-45434), UniFi OS (CVE-2026-33000, CVE-2026-34908 bis CVE-2026-34911), Open WebUI (CVE-2026-45401), F5 NGINX Plus und NGINX Open Source (CVE-2026-9256, CVE-2026-8711), Splunk Enterprise und Splunk Cloud Platform (CVE-2026-20239), FreePBX (CVE-2026-46376), PostgreSQL (CVE-2026-6637) sowie Apache Flink (CVE-2026-35194).