Nx Console VS Code延伸套件供應鏈攻擊CVE-2026-48027竊資軟體植入
Nx Console VS Code 延伸套件(rwl.angular-console)v18.95.0 遭供應鏈攻擊植入竊資軟體,CVE-2026-48027(重大等級),2026年5月18日事件。
事件背景
攻擊源頭為 TanStack 供應鏈攻擊:Nx Console 的一名開發者 GitHub 憑證遭 TanStack 攻擊波及而外流,攻擊者冒充該開發者觸發 GitHub 儲存庫 CI/CD 工作流程,將惡意版本發布至 VS Code 市集。
惡意酬載技術細節
- 觸發條件:開發者開啟任意 VS Code 工作區即觸發(無需額外操作)
- 酬載大小:498 KB(經混淆處理)
- 酬載來源:從攻擊者控制的 GitHub 儲存庫提交動態取得
- 攻擊目標憑證:GitHub、NPM、AWS、HashiCorp Vault、Kubernetes、1Password
資料外洩管道
- HTTPS
- GitHub API
- DNS 隧道
macOS 特殊行為
- 部署 Python 持久後門
- 濫用 GitHub Search API 作為 Dead Drop 接收指令
影響範圍
| 平台 | 官方安裝數 | Nx 內部估計 |
|---|---|---|
| VS Code 市集 | 28 次 | ~6,000 次啟動 |
| Open VSX | 41 次 | — |
Cursor IDE 用戶亦有受害案例。
事件處置
- CVE: CVE-2026-48027(重大)
- VS Code 市集:18 分鐘內下架
- Open VSX:36 分鐘內下架
- 官方安全公告:GHSA-c9j4-9m59-847w
關聯
與 software-supply-chain-attack 及 Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 同屬 TanStack 攻擊鏈的衍生事件。
來源文章
- ithome-2026-05-24-nx-console-vscode-supply-chain-176068 — 原始 iThome 報導
相關頁面
- nx-console — 受害延伸套件
- github — 攻擊基礎設施濫用平台
- npm — 相關供應鏈生態
- software-supply-chain-attack — 供應鏈攻擊概念
- Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 — TanStack 攻擊上游事件