Sono bastati 18 minuti. Tra le 12:30 e le 12:48 UTC di lunedì 18 maggio 2026, una versione manomessa dell'estensione Nx Console — uno degli strumenti più diffusi per chi sviluppa con Visual Studio Code, oltre 2,2 milioni di installazioni — è rimasta scaricabile sul Marketplace ufficiale di Microsoft. In quella finestra strettissima il pacchetto avvelenato ha iniziato a rubare credenziali dai computer degli sviluppatori che aprivano un progetto. Il risultato, reso pubblico da GitHub il 19 maggio, è uno dei furti di codice sorgente più gravi mai documentati: circa 3.800 repository interni dell'azienda esfiltrati.
Dietro l'attacco c'è TeamPCP (tracciato anche come UNC6780), un gruppo specializzato in attacchi alla catena di fornitura del software. Come riporta Help Net Security, gli aggressori avrebbero già tentato di vendere il bottino, partendo da una richiesta di 50.000 dollari fino a un annuncio — in apparente collaborazione con il collettivo Lapsus$ — per cederlo a 95.000 dollari.
Come una riga di codice nascosta ha aperto la porta
Il meccanismo è istruttivo perché non sfrutta una falla esotica, ma la fiducia che ogni programmatore ripone nei propri strumenti. La versione incriminata, identificata come nrwl.angular-console v18.95.0, una volta installata scaricava ed eseguiva nel giro di pochi secondi un payload offuscato da circa 498 KB. Il file non era ospitato su un server losco, ma in un commit orfano nascosto all'interno del repository GitHub ufficiale del progetto Nx: un dettaglio che lo rendeva quasi invisibile ai controlli automatici.
Quel payload era un credential stealer, cioè un ladro di credenziali. Secondo l'analisi di StepSecurity, era in grado di setacciare le casseforti di 1Password, le configurazioni di Claude Code di Anthropic, i token di npm, GitHub e Amazon Web Services. In altre parole, andava a colpire proprio i «segreti» che gli sviluppatori del 2026 tengono sul disco: chiavi API dei modelli di intelligenza artificiale, accessi cloud, password dei gestori.
Perché un'estensione è un bersaglio così ghiotto
Il punto debole non era GitHub in sé, ma l'anello che lo precede: un token di un collaboratore del team Nx, sottratto in un precedente attacco, è bastato per pubblicare la versione manomessa con firma legittima. È il classico effetto domino della catena di fornitura: si compromette uno strumento di cui si fidano in milioni, e da lì si raggiungono le vittime finali, comprese le grandi aziende.
TeamPCP non è un esordiente. Stando alle ricostruzioni di The Hacker News, in passato il gruppo ha colpito utility molto usate dagli sviluppatori e dai team di sicurezza, dallo scanner Trivy di Aqua a KICS di Checkmarx, fino a librerie legate all'ecosistema dei modelli linguistici come LiteLLM. La costante è sempre la stessa: prendere di mira il software che sta «a monte», lì dove un singolo pacchetto compromesso si propaga a cascata.
Cosa rischiano davvero le aziende che usano l'IA
La novità preoccupante di questo episodio è il bersaglio esplicito delle configurazioni degli agenti di intelligenza artificiale. Nel 2026 strumenti come Claude Code, gli agenti da terminale e le pipeline automatiche custodiscono chiavi che danno accesso a interi ambienti di produzione. Rubare quei file significa potersi spacciare per lo sviluppatore, far girare codice, leggere dati sensibili o accumulare costi su servizi cloud e API a pagamento.
Per chi gestisce team tecnici, l'incidente suggerisce alcune contromisure concrete e immediate: revocare e rigenerare i token potenzialmente esposti; abilitare il secret scanning e l'autenticazione a più fattori sui repository; bloccare l'aggiornamento automatico delle estensioni e fissarle a versioni verificate; non conservare chiavi API in chiaro nei file di configurazione locali. GitHub, dal canto suo, ha avviato la rotazione delle credenziali coinvolte e ribadito che i dati dei clienti del servizio non risultano interessati, trattandosi di codice interno dell'azienda.
Un avviso per chi sviluppa con l'IA in Italia
L'episodio arriva mentre anche in Italia cresce l'adozione di assistenti di programmazione e agenti autonomi nelle software house e nelle direzioni IT. La lezione è che l'efficienza portata dall'IA si paga con una superficie d'attacco più ampia: ogni estensione, ogni libreria, ogni chiave salvata sul portatile diventa un possibile punto d'ingresso. Come nota Infosecurity Magazine, la velocità con cui l'attacco è stato montato e poi smontato — appena 18 minuti di esposizione — dimostra che gli aggressori contano ormai sull'automazione tanto quanto i difensori.
La buona notizia è che la finestra ridotta ha limitato il numero di sviluppatori realmente colpiti rispetto ai 2,2 milioni di utenti potenziali. La cattiva è che, una volta rubati 3.800 repository di una delle aziende simbolo dell'open source, il danno reputazionale e il rischio di sfruttamenti futuri non si misurano in minuti, ma in mesi.
