2026年5月18日、非常に高度なサプライチェーン攻撃が人気のNx Console Visual Studio Code拡張機能を標的にしました。攻撃者は220万以上のインストール数を誇るこのツールのバージョン18.95.0を侵害しました。
開発者がワークスペースを開くと、不正な拡張機能は隠れたペイロードを静かに実行して、機密情報を盗み、永続的なバックドアをインストールしました。
幸いなことに、Nxチームはブリーチを検出し、11分以内に悪意のあるバージョンをVS Code Marketplaceから削除しました。
これは1年未満でNxエコシステムに対する2番目のサプライチェーン攻撃です。攻撃者は、以前の無関係のインシデントから貢献者のGitHubトークンをスクレイピングすることから始めました。
彼らはこの盗まれたトークンを使用して、公式のNx GitHubリポジトリ内に目に見えない「孤児」コミットを植え付けました。最後に、彼らは感染した拡張機能をローカルでビルドし、侵害された認証情報を使用してVS Code Marketplaceに直接公開しました。
悪意のあるペイロードは、広範な開発者ツールを対象とするように設計された多段階の認証情報スティーラーです。
また、Claude Code設定ファイルを特に探して、AIコーディングアシスタントを標的とした最初の既知の攻撃の1つになりました。
盗まれたデータが攻撃者に到達することを確認するため、マルウェアは3つの独立したデータ流出チャネルを使用します:HTTPS、GitHub API、およびDNSトンネリング。ペイロードはmacOSシステム上に永続的なPythonベースのバックドアも残します。
マルウェアはメモリとクラウドメタデータをスクレイピングする専用プロセスを実行するため、ハードドライブに保存されているシークレットのみをローテーションするだけでは不十分です。
影響を受けたワークステーションから到達可能なシークレットはすべて侵害されたと見なす必要があります。高セキュリティ環境では、すべての認証情報をローテーションした後、影響を受けたマシンを完全に再イメージ化することが最も安全なアプローチです。
StepSecurity Dev Machine Guardのようなオープンソースツールを使用してローカル環境をスキャンし、侵害された拡張機能が存在するかどうかをすばやく特定することもできます。
翻訳元: https://cyberpress.org/nx-console-hijacked-attack/