行業新聞與博客

GitHub 安全漏洞追溯至惡意 “Nx Console” VS Code 擴展程序

2026年05月26日|亞洲註冊

GitHub 已確認，最近其內部存儲庫遭到入侵是由名為“Nx Console”的 Microsoft Visual Studio Code (VS Code) 擴展程序中的漏洞引起的。

微軟旗下的軟件開發平台的安全團隊於 5 月 19 日發出警告，一名攻擊者通過在員工設備上發現的“被污染的”VS Code 擴展程序，未經授權訪問了 3800 個內部存儲庫。

後來，Nx 的首席執行官 Jeff Cross 證實，流行的 VS Code 擴展程序 Nx Console 就是被注入惡意代碼並導致 GitHub 數據泄露的擴展程序。

Nx Console 提供了一個圖形界面，用於管理和運行 Nx 工作區任務、生成器和構建。 Nx 是一個用於管理大型代碼庫（也稱為單體倉庫）的開發工具包。

Nx Console 是一款熱門擴展程序，在 Visual Studio Marketplace 上的安裝量達 220 萬次，並獲得了認證發佈商徽章。

Cross 在 GitHub 上發佈的一份報告中解釋説，5 月 18 日，一個惡意版本的 Vx Console（版本 18.95.0）被上傳到了 Visual Studio Marketplace 和 Open VSX（一個與 Visual Studio Code 兼容的編輯器的開源擴展註冊表）。

上傳操作於世界協調時 12:30 由一名冒充合法 Nx 維護者的個人完成。

被入侵的擴展程序獲取了一個混淆的有效載荷，該載荷從磁盤和內存中的多個來源竊取憑據：

該問題已被分配漏洞標識符，CVE-2026-48027 。

Cross 解釋説，此人通過近期 TanStackn pm 軟件包的供應鏈入侵，獲取了一位合法 Nx 開發者的 GitHub 憑證。這是影響開發者生態系統的更廣泛供應鏈攻擊的一部分，該攻擊通常被稱為 Mini Shai-Hulud 攻擊活動。

TanStack 是一套用於構建現代 Web 應用程序的開源開發者工具集，尤其側重於狀態管理、數據獲取、表格、路由和虛擬化。

此外，克羅斯承認，惡意 Nx Console 版本的上傳是在“未經其他 Nx 管理員手動批准”的情況下進行的。

“為了防止此類情況再次發生，我們加強了 Nx Console 的發佈流程，現在需要兩名管理員手動批准發佈。”

幾分鐘後，維護者取消發佈了惡意版本，微軟於 UTC 時間 12:48 完全記錄了此次下架，這意味着該惡意擴展程序在 Visual Studio Marketplace 上大約有 18 分鐘的時間。

Nx 公司首席執行官克羅斯表示，該公司對其軟件在此次事件中所扮演的角色“承擔責任”。他感謝所有參與調查和控制威脅的人員，包括 GitHub 和微軟。

“這一事件凸顯出，我們需要對我們和其他維護者思考如何保障開發者工具和開源分發進行更深入、更根本的改變，”他補充道。

他還表示，Nx 已經開始實施“對我們的發佈、自動化和擴展安全態勢”的改變。

“我們也開始與其他一些知名的開源維護者展開對話，探討如何共同解決軟件供應鏈安全方面一些更深層次的結構性問題。這個生態系統多年來賴以運作的許多假設已經不再成立。”

雖然時間窗口可能看起來很短，但足以感染許多安裝了 Nx Console 擴展並啓用了自動更新的 VS Code 開源項目貢獻者。

遇到這種情況的任何人都應該假定自己的系統已被入侵，並應輪換存儲在磁盤上的任何身份驗證密鑰，包括令牌、密鑰、 SSH 密鑰和任何類型的憑據。

攻擊者還設法竊取了 GitHub 大約 3800 個內部存儲庫。

GitHub 控制住了威脅，並在 5 月 19 日的更新中解釋説，它已經刪除了惡意擴展版本，隔離了端點，並立即開始應對事件。

GitHub 補充道：“昨天和昨晚我們已對關鍵密鑰進行了輪換，優先輪換影響最大的憑證。我們將繼續分析日誌，驗證密鑰輪換情況，並監控任何後續活動。我們將根據調查結果採取進一步措施。”

該公司還承諾，一旦調查結束，將發佈一份更詳細的報告。

TeamPCP 黑客組織聲稱對此次攻擊事件負責。

該組織最初要求對被盜數據“至少支付 5 萬美元”，之後據報道發佈了一則廣告，其中 TeamPCP 似乎與 Lapsus$ 威脅組織合作，以 9.5 萬美元的價格出售被盜數據。

該組織聲明這“並非贖金”，他們無意敲詐 GitHub 。

相反，他們聲稱只會將數據賣給一個買家，“低於 5 萬美元的價格不予考慮”，並表示“價高者得”。他們保證一旦找到買家就會刪除被盜數據，並補充説他們似乎即將退休。

他們還警告説，如果找不到買家，他們將免費泄露這些數據。

圖片來源：GitHub