行業新聞與部落格

GitHub 安全漏洞追溯至惡意 “Nx Console” VS Code 擴充程式

2026年05月26日|亞洲註冊

GitHub 已確認，最近其內部儲存庫遭到入侵是由名為“Nx Console”的 Microsoft Visual Studio Code (VS Code) 擴充程式中的漏洞引起的。

微軟旗下的軟體開發平臺的安全團隊於 5 月 19 日發出警告，一名攻擊者透過在員工裝置上發現的“被汙染的”VS Code 擴充程式，未經授權訪問了 3800 個內部儲存庫。

後來，Nx 的執行長 Jeff Cross 證實，流行的 VS Code 擴充程式 Nx Console 就是被注入惡意程式碼並導致 GitHub 資料洩露的擴充程式。

Nx Console 提供了一個圖形介面，用於管理和執行 Nx 工作區任務、生成器和構建。 Nx 是一個用於管理大型程式碼庫（也稱為單體倉庫）的開發工具包。

Nx Console 是一款熱門擴充程式，在 Visual Studio Marketplace 上的安裝量達 220 萬次，並獲得了認證釋出商徽章。

Cross 在 GitHub 上釋出的一份報告中解釋說，5 月 18 日，一個惡意版本的 Vx Console（版本 18.95.0）被上傳到了 Visual Studio Marketplace 和 Open VSX（一個與 Visual Studio Code 相容的編輯器的開源擴充登錄檔）。

上傳操作於世界協調時 12:30 由一名冒充合法 Nx 維護者的個人完成。

被入侵的擴充程式獲取了一個混淆的有效載荷，該載荷從磁碟和記憶體中的多個來源竊取憑據：

該問題已被分配漏洞識別符號，CVE-2026-48027 。

Cross 解釋說，此人透過近期 TanStackn pm 軟體包的供應鏈入侵，獲取了一位合法 Nx 開發者的 GitHub 憑證。這是影響開發者生態系統的更廣泛供應鏈攻擊的一部分，該攻擊通常被稱為 Mini Shai-Hulud 攻擊活動。

TanStack 是一套用於構建現代 Web 應用程式的開源開發者工具集，尤其側重於狀態管理、資料獲取、表格、路由和虛擬化。

此外，克羅斯承認，惡意 Nx Console 版本的上傳是在“未經其他 Nx 管理員手動批准”的情況下進行的。

“為了防止此類情況再次發生，我們加強了 Nx Console 的釋出流程，現在需要兩名管理員手動批准釋出。”

幾分鐘後，維護者取消釋出了惡意版本，微軟於 UTC 時間 12:48 完全記錄了此次下架，這意味著該惡意擴充程式在 Visual Studio Marketplace 上大約有 18 分鐘的時間。

Nx 公司執行長克羅斯表示，該公司對其軟體在此次事件中所扮演的角色“承擔責任”。他感謝所有參與調查和控制威脅的人員，包括 GitHub 和微軟。

“這一事件凸顯出，我們需要對我們和其他維護者思考如何保障開發者工具和開源分發進行更深入、更根本的改變，”他補充道。

他還表示，Nx 已經開始實施“對我們的釋出、自動化和擴充安全態勢”的改變。

“我們也開始與其他一些知名的開源維護者展開對話，探討如何共同解決軟體供應鏈安全方面一些更深層次的結構性問題。這個生態系統多年來賴以運作的許多假設已經不再成立。”

雖然時間視窗可能看起來很短，但足以感染許多安裝了 Nx Console 擴充並啟用了自動更新的 VS Code 開源專案貢獻者。

遇到這種情況的任何人都應該假定自己的系統已被入侵，並應輪換儲存在磁碟上的任何身份驗證金鑰，包括令牌、金鑰、 SSH 金鑰和任何型別的憑據。

攻擊者還設法竊取了 GitHub 大約 3800 個內部儲存庫。

GitHub 控制住了威脅，並在 5 月 19 日的更新中解釋說，它已經刪除了惡意擴充版本，隔離了端點，並立即開始應對事件。

GitHub 補充道：“昨天和昨晚我們已對關鍵金鑰進行了輪換，優先輪換影響最大的憑證。我們將繼續分析日誌，驗證金鑰輪換情況，並監控任何後續活動。我們將根據調查結果採取進一步措施。”

該公司還承諾，一旦調查結束，將釋出一份更詳細的報告。

TeamPCP 駭客組織聲稱對此次攻擊事件負責。

該組織最初要求對被盜資料“至少支付 5 萬美元”，之後據報道釋出了一則廣告，其中 TeamPCP 似乎與 Lapsus$ 威脅組織合作，以 9.5 萬美元的價格出售被盜資料。

該組織宣告這“並非贖金”，他們無意敲詐 GitHub 。

相反，他們聲稱只會將資料賣給一個買家，“低於 5 萬美元的價格不予考慮”，並表示“價高者得”。他們保證一旦找到買家就會刪除被盜資料，並補充說他們似乎即將退休。

他們還警告說，如果找不到買家，他們將免費洩露這些資料。

圖片來源：GitHub