Nx Console的VS Code延伸套件被植入竊資軟體

來源: iThome | URL: https://www.ithome.com.tw/news/176068 發布日期: 2026-05-24 | Blog ID: 542

事件概要

Nx Console VS Code 延伸套件(rwl.angular-consolev18.95.0 遭供應鏈攻擊,惡意版本上架至 VS Code 延伸套件市集。

攻擊技術細節

  • 觸發條件: 開發者開啟任意 VS Code 工作區即觸發
  • 惡意酬載: 從特定 GitHub 儲存庫提交內容取得,經混淆處理,大小 498 KB
  • 攻擊性質: 多階段憑證竊取工具,目標為供應鏈投毒

竊取目標

GitHub、NPM、AWS、HashiCorp Vault、Kubernetes、1Password 的權杖及憑證

資料洩露管道

  1. HTTPS
  2. GitHub API
  3. DNS 隧道

macOS 特殊行為

  • 部署 Python 後門
  • 濫用 GitHub Search API 作為 Dead Drop 資料交換管道接收攻擊指令

攻擊根因

其中一名開發者遭遇 TanStack 供應鏈攻擊,導致 GitHub 憑證外流,攻擊者冒充開發者身分執行團隊 GitHub 儲存庫工作流程。

影響範圍

平台官方數據Nx 內部估計
VS Code 市集28 次安裝~6,000 次下載並啟動
Open VSX41 次安裝
Cursor亦有用戶受害

事件處置

  • CVE 編號: CVE-2026-48027(重大等級)
  • VS Code 市集:上架後 18 分鐘移除
  • Open VSX:上架後 36 分鐘移除
  • Nx 已發布官方資安公告(GHSA-c9j4-9m59-847w)

衍生頁面