行业新闻与博客

GitHub 安全漏洞追溯至恶意 “Nx Console” VS Code 扩展程序

2026年05月26日|亚洲注册

GitHub 已确认，最近其内部存储库遭到入侵是由名为“Nx Console”的 Microsoft Visual Studio Code (VS Code) 扩展程序中的漏洞引起的。

微软旗下的软件开发平台的安全团队于 5 月 19 日发出警告，一名攻击者通过在员工设备上发现的“被污染的”VS Code 扩展程序，未经授权访问了 3800 个内部存储库。

后来，Nx 的首席执行官 Jeff Cross 证实，流行的 VS Code 扩展程序 Nx Console 就是被注入恶意代码并导致 GitHub 数据泄露的扩展程序。

Nx Console 提供了一个图形界面，用于管理和运行 Nx 工作区任务、生成器和构建。 Nx 是一个用于管理大型代码库（也称为单体仓库）的开发工具包。

Nx Console 是一款热门扩展程序，在 Visual Studio Marketplace 上的安装量达 220 万次，并获得了认证发布商徽章。

Cross 在 GitHub 上发布的一份报告中解释说，5 月 18 日，一个恶意版本的 Vx Console（版本 18.95.0）被上传到了 Visual Studio Marketplace 和 Open VSX（一个与 Visual Studio Code 兼容的编辑器的开源扩展注册表）。

上传操作于世界协调时 12:30 由一名冒充合法 Nx 维护者的个人完成。

被入侵的扩展程序获取了一个混淆的有效载荷，该载荷从磁盘和内存中的多个来源窃取凭据：

该问题已被分配漏洞标识符，CVE-2026-48027 。

Cross 解释说，此人通过近期 TanStackn pm 软件包的供应链入侵，获取了一位合法 Nx 开发者的 GitHub 凭证。这是影响开发者生态系统的更广泛供应链攻击的一部分，该攻击通常被称为 Mini Shai-Hulud 攻击活动。

TanStack 是一套用于构建现代 Web 应用程序的开源开发者工具集，尤其侧重于状态管理、数据获取、表格、路由和虚拟化。

此外，克罗斯承认，恶意 Nx Console 版本的上传是在“未经其他 Nx 管理员手动批准”的情况下进行的。

“为了防止此类情况再次发生，我们加强了 Nx Console 的发布流程，现在需要两名管理员手动批准发布。”

几分钟后，维护者取消发布了恶意版本，微软于 UTC 时间 12:48 完全记录了此次下架，这意味着该恶意扩展程序在 Visual Studio Marketplace 上大约有 18 分钟的时间。

Nx 公司首席执行官克罗斯表示，该公司对其软件在此次事件中所扮演的角色“承担责任”。他感谢所有参与调查和控制威胁的人员，包括 GitHub 和微软。

“这一事件凸显出，我们需要对我们和其他维护者思考如何保障开发者工具和开源分发进行更深入、更根本的改变，”他补充道。

他还表示，Nx 已经开始实施“对我们的发布、自动化和扩展安全态势”的改变。

“我们也开始与其他一些知名的开源维护者展开对话，探讨如何共同解决软件供应链安全方面一些更深层次的结构性问题。这个生态系统多年来赖以运作的许多假设已经不再成立。”

虽然时间窗口可能看起来很短，但足以感染许多安装了 Nx Console 扩展并启用了自动更新的 VS Code 开源项目贡献者。

遇到这种情况的任何人都应该假定自己的系统已被入侵，并应轮换存储在磁盘上的任何身份验证密钥，包括令牌、密钥、 SSH 密钥和任何类型的凭据。

攻击者还设法窃取了 GitHub 大约 3800 个内部存储库。

GitHub 控制住了威胁，并在 5 月 19 日的更新中解释说，它已经删除了恶意扩展版本，隔离了端点，并立即开始应对事件。

GitHub 补充道：“昨天和昨晚我们已对关键密钥进行了轮换，优先轮换影响最大的凭证。我们将继续分析日志，验证密钥轮换情况，并监控任何后续活动。我们将根据调查结果采取进一步措施。”

该公司还承诺，一旦调查结束，将发布一份更详细的报告。

TeamPCP 黑客组织声称对此次攻击事件负责。

该组织最初要求对被盗数据“至少支付 5 万美元”，之后据报道发布了一则广告，其中 TeamPCP 似乎与 Lapsus$ 威胁组织合作，以 9.5 万美元的价格出售被盗数据。

该组织声明这“并非赎金”，他们无意敲诈 GitHub 。

相反，他们声称只会将数据卖给一个买家，“低于 5 万美元的价格不予考虑”，并表示“价高者得”。他们保证一旦找到买家就会删除被盗数据，并补充说他们似乎即将退休。

他们还警告说，如果找不到买家，他们将免费泄露这些数据。

图片来源：GitHub