Nx Console VS Code延伸套件供應鏈攻擊CVE-2026-48027竊資軟體植入

Nx Console VS Code 延伸套件(rwl.angular-console)v18.95.0 遭供應鏈攻擊植入竊資軟體,CVE-2026-48027(重大等級),2026年5月18日事件。

事件背景

攻擊源頭為 TanStack 供應鏈攻擊:Nx Console 的一名開發者 GitHub 憑證遭 TanStack 攻擊波及而外流,攻擊者冒充該開發者觸發 GitHub 儲存庫 CI/CD 工作流程,將惡意版本發布至 VS Code 市集。

惡意酬載技術細節

  • 觸發條件:開發者開啟任意 VS Code 工作區即觸發(無需額外操作)
  • 酬載大小:498 KB(經混淆處理)
  • 酬載來源:從攻擊者控制的 GitHub 儲存庫提交動態取得
  • 攻擊目標憑證:GitHub、NPM、AWS、HashiCorp Vault、Kubernetes、1Password

資料外洩管道

  1. HTTPS
  2. GitHub API
  3. DNS 隧道

macOS 特殊行為

  • 部署 Python 持久後門
  • 濫用 GitHub Search API 作為 Dead Drop 接收指令

影響範圍

平台官方安裝數Nx 內部估計
VS Code 市集28 次~6,000 次啟動
Open VSX41 次

Cursor IDE 用戶亦有受害案例。

事件處置

  • CVE: CVE-2026-48027(重大)
  • VS Code 市集:18 分鐘內下架
  • Open VSX:36 分鐘內下架
  • 官方安全公告:GHSA-c9j4-9m59-847w

關聯

software-supply-chain-attackMini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 同屬 TanStack 攻擊鏈的衍生事件。

來源文章

相關頁面