Le 18 mai 2026, entre 14h36 et 14h47 (CEST), une version compromise de l'extension Nx Console (nrwl.angular-console v18.95.0) a été publiée sur le Visual Studio Code Marketplace. Onze minutes en ligne, et c'est l'écosystème dev mondial qui a tremblé : 2,2 millions d'installations potentiellement exposées, 3 800 dépôts privés de GitHub exfiltrés, et — c'est la nouveauté qui doit faire réfléchir tout le monde — la première attaque massive ciblant explicitement les configurations Anthropic Claude Code.

Les faits, sans emballage

Le groupe TeamPCP (alias UNC6780) a compromis le compte d'un dev légitime de Nx via une attaque en cascade sur les packages npm de TanStack. Une fois le compte récupéré, ils ont publié la version 18.95.0 sur le Marketplace. À l'ouverture, l'extension lançait silencieusement un script shell qui téléchargeait un payload depuis un commit planté sur le repo officiel nrwl/nx, déguisé en routine de setup MCP.

Le voleur a moissonné, en parallèle, plusieurs surfaces : Vault (~/.vault-token, /etc/vault/token), Kubernetes, 1Password, npm, GitHub, AWS IAM, et — c'est la cible inédite — les fichiers de configuration de Claude Code (~/.claude/settings.json). GitHub a confirmé : « les 3 800 dépôts revendiqués par l'attaquant sont cohérents avec notre investigation ». Les secrets critiques ont été rotés en urgence dans la nuit du 19 au 20 mai.

Au moment où nous publions, TeamPCP s'est associé à Lapsus$ et met en vente le butin à 95 000 dollars, après une première demande à 50 000.

Pourquoi les configs IA sont devenues une cible de premier choix

C'est le point qui change la grammaire de la sécurité dev. Un token Claude Code ou Cursor n'est pas un mot de passe ordinaire : c'est un permis d'exécuter du code arbitraire dans l'environnement de la victime. L'attaquant qui le récupère peut spawn un agent, lui ordonner de scanner votre disque, exfiltrer des fichiers, ouvrir des PR malveillantes sur vos repos, créer des ressources cloud à votre nom — et tout ça à votre tarif d'usage Anthropic, sans alerte.

Pire : la plupart des devs laissent ces fichiers en clair, non chiffrés, à côté du .env. Et 90% des sociétés n'ont aucune politique de rotation des tokens d'assistants IA. On est exactement dans l'angle mort qui a fait les beaux jours des fuites AWS de 2018-2020, en plus rapide à monétiser.

Trois actions à mener cette semaine (que vous ayez été touché ou non)

1. Audit immédiat des extensions VS Code et Cursor. Listez tout ce qui est installé sur les postes de vos devs, supprimez ce qui n'est pas activement utilisé. Chaque extension est une porte ouverte sur votre disque, vos tokens, vos secrets. La règle : si elle n'a pas servi en 30 jours, elle dégage.

2. Rotation forcée des tokens IA. Tournez vos clés Anthropic, OpenAI, Google, Cursor, GitHub Copilot. Mettez en place une rotation automatique tous les 90 jours minimum, avec scopes restreints (lecture seule quand c'est possible). Et bannissez les tokens admin / sans expiration côté config IA.

3. Isolation des fichiers .claude/, .cursor/, .copilot/. Ces dossiers doivent être chmod 600 (lecture proprio uniquement), exclus du git add via .gitignore global, et idéalement chiffrés au repos via git-crypt, SOPS ou un secret manager (1Password CLI, Bitwarden, Doppler). Plus de tokens en clair traînant dans le home.

Notre approche chez Com'Inspir

Sur notre stack interne, on a anticipé ces vecteurs depuis avril : MCP HTTP avec Bearer token rotatif hébergé sur notre VPS, IP whitelist nginx sur tous les endpoints sensibles, tokens scopés par agent (Hermes, MNEMO, PALANTIR ont chacun leur clé limitée à leur périmètre), et un audit trimestriel automatisé par notre agent SHIELD. Quand un dev quitte le projet, sa rotation est faite dans l'heure, pas le mois suivant.

On a aussi banni les extensions VS Code/Cursor non auditées dans la charte interne, et on prévoit une rotation préventive de tous les tokens IA après chaque incident industrie de cette ampleur — comme la nuit du 18 au 19 mai, exactement.

Verdict

L'attaque TeamPCP n'est pas un cas isolé : c'est le premier d'une nouvelle catégorie. Les configs d'assistants IA viennent d'entrer dans le top 5 des cibles supply chain, à côté des tokens GitHub et AWS. Toutes les PME qui utilisent Claude Code, Cursor ou Copilot en production sont concernées — et la grande majorité n'a aucune politique en place. Onze minutes, c'est tout ce qu'il faut pour que ça vous arrive.

Vous voulez savoir où en est votre exposition ? On audite votre stack IA en 24 h, gratuitement, et on vous remet un plan d'action priorisé. C'est plus rapide que de rotater 50 tokens un dimanche soir parce que TeamPCP est passé par là.