45 лет тюрьмы за DROP TABLE и переход Карпатого в Anthropic

В сфере искусственного интеллекта произошло заметное событие. honest_niceman 8 минут назад 45 лет тюрьмы за DROP TABLE и переход Карпатого в Anthropic Простой 4 мин 226 Блог компании Haulmont Искусственный интеллект Программирование * Информационная безопасность * Дайджест 15-й выпуск IT-новостей от OpenIDE! Вредоносная версия плагина провисела в VS Code Marketplace 18 минут и этого хватило, чтобы слить конфиги Claude Code, ключи AWS и 3800 репозиториев GitHub. Параллельно двое братьев удалили 96 правительственных баз данных за ~1 час после увольнения по Teams, а Bolt вообще уволил весь HR-отдел.

Дайджест также доступен в формате видео:GitHub взломан через VS Code за 18 минут18 мая 2026 года группировка TeamPCP опубликовала вредоносную версию расширения Nx Console (версия 18. 0) в VS Code Marketplace. Расширение провисело там ровно 18 минут, с 12:30 до 12:48 UTC, прежде чем его удалили.

Технические детали

За это время автообновление успело раздать заражённую версию пользователям. Один из разработчиков GitHub установил обновление и запустил вредоносный payload, который при открытии workspace молча собрал AWS-ключи, npm-токены, GitHub-учётные данные, конфигурации 1Password и Claude Code, после чего отправил всё на серверы атакующих. Итог: TeamPCP получила доступ примерно к 3 800 внутренних репозиториев GitHub.

Nx Console — 2,2 млн установок на Marketplace, верифицированный издатель. GitHub подтвердил, что пользовательские репозитории инцидент не затронул — только внутренние. Вредоносная версия тянула обфусцированный payload из специально подготовленного коммита в официальном репозитории nrwl/nx на GitHub.

Атакующие скомпрометировали аккаунт одного из мейнтейнеров и от его имени запушили заражённую версию. TeamPCP объявила, что продаст всё одному покупателю за $50 000. Если покупатель не найдётся — опубликует бесплатно.

Отраслевые последствия

Это подходящий момент сказать пару слов про OpenIDE Marketplace :D Да ладно, рофлю. Но всё же немного не посмаковать её я не могу. Разработчик Microsoft поставил расширение из Marketplace Microsoft в VS Code от Microsoft и получил вредоносное ПО.

Карпати переходит в Anthropic19 мая Андрей Карпати объявил о переходе в Anthropic. Он войдёт в команду pre-training под руководством Ника Джозефа — именно этот отдел отвечает за крупные обучающие прогоны, формирующие базовые знания и способности Claude. Карпати, один из 11 сооснователей OpenAI, с 2017 по 2022 год возглавлял команду компьютерного зрения Tesla Autopilot.

После Tesla вернулся в OpenAI на год, затем основал Eureka Labs — AI-нативную школу. Теперь вот в Anthropic. Это примерно как если бы Федя Сазонов вдруг перешёл работать в GigaIDE.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.