o github sofreu recentemente um grave ataque à cadeia de suprimentos, resultando no roubo de cerca de 3.800 repositórios privados de código. a causa raiz não foi uma violação externa, mas sim uma extensão amplamente confiável do vs code — o nx console. uma versão maliciosa, a v18.95.0, foi publicada sem revisão humana, aproveitando-se de uma conta comprometida de mantenedor para implantar um backdoor furtivo que coletava automaticamente credenciais sensíveis dos ambientes locais e as utilizava para se conectar diretamente à rede interna do github, permitindo movimentação lateral e exfiltração de dados.
a cadeia de ataque foi altamente sofisticada: os invasores primeiro obtiveram acesso às credenciais do mantenedor principal do nx console por meio de um comprometimento na cadeia de suprimentos que visava o tanstack; em seguida, submeteram uma atualização ao marketplace do microsoft visual studio code utilizando credenciais legítimas, concluindo todo o processo — da publicação à distribuição generalizada e à remoção — em apenas 36 minutos. embora os sistemas oficiais de monitoramento tenham registrado apenas 28 instalações, os dados da plataforma openvsx mostraram 41 instalações. no entanto, ao analisar os registros de ativação das extensões, a equipe do nx console confirmou que o uso real no lado do vs code ultrapassou 6.000 instâncias — incluindo vários funcionários do github — levando a uma violação em larga escala da rede interna.
ainda mais preocupante é que esse payload malicioso possui capacidades de persistência em sistemas macos, tornando impossível sua remoção completa por meio dos procedimentos padrão de desinstalação. a equipe do nx console publicou um guia abrangente de limpeza no github, recomendando que todos os usuários que anteriormente instalaram essa versão realizem imediatamente a rotação de suas credenciais, auditorem os históricos de login e inspecionem minuciosamente seus sistemas em busca de vestígios residuais, conforme descrito no guia. para cenários de alto risco, reinstalar o sistema operacional é considerado a alternativa de contingência mais confiável.
para prevenir caminhos de ataque semelhantes, o nx console anunciou a eliminação total de seu mecanismo de “publicação sem revisão”, passando a exigir um processo manual de revisão multifatorial. essa melhoria não se aplica apenas ao próprio ecossistema, mas também serve como um alerta para toda a comunidade de plugins do vs code: as publicações automatizadas devem dar lugar a processos seguros e controlados, e a confiança jamais deve substituir a verificação.
cronograma do ataque (utc)
19 de maio de 2026, 12h30: a versão maliciosa v18.95.0 entra em vigor no marketplace do vs code
12h36: a equipe de desenvolvimento recebe uma notificação automática de lançamento
12h47: é enviado um pedido de retirada emergencial à microsoft
12h48: a microsoft conclui a operação de remoção
13h09: a plataforma openvsx remove simultaneamente a versão maliciosa
a janela efetiva de exposição foi de 36 minutos, mas o impacto superou em muito as expectativas. as prioridades imediatas são resposta rápida, inventário completo, rigorosa rotação de credenciais e investigação forense aprofundada.
