GitHubは、マイクロソフト Visual Studio Code (VS Code) 拡張機能「Nx Console」の脆弱性が原因で、内部リポジトリへの最近の侵害が発生したことを確認しました。
マイクロソフト傘下のソフトウェア開発者プラットフォームのセキュリティチームは、5月19日に、従業員のデバイスで発見された「汚染された」VS Code拡張機能を通じて、攻撃者が3800の内部リポジトリへの無許可アクセスを取得したことを警告しました。
その後、Nxの最高経営責任者であるJeff Crossにより、人気のあるVS Code拡張機能であるNx Consoleが汚染された拡張機能であり、GitHubの侵害をもたらしたことが確認されました。
Nx Consoleは、Nxワークスペースのタスク、ジェネレータ、ビルドを管理および実行するためのグラフィカルインターフェースを提供します。Nxは、モノレポとしても知られる大規模なコードベースを管理するための開発ツールキットです。
Nx ConsoleはVisual Studio Marketplaceで220万インストールされている人気のある拡張機能で、確認済みのパブリッシャーバッジを備えています。
GitHubに公開されたレポートで、Crossはマルウェア版のVx Console(バージョン18.95.0)が5月18日にVisual Studio MarketplaceおよびOpen VSX(Visual Studio Code互換エディター用のオープンソース拡張機能レジストリ)にアップロードされたことを説明しました。
アップロードは、正当なNxメンテナーになりすました個人によって、UTC 12:30に完了しました。
侵害された拡張機能は、ディスクとメモリ内の複数のソースから認証情報を収集した難読化されたペイロードを取得しました:
- Vault: ~/.vault-token, /etc/vault/token; KubernetesおよびAWS IAM認証
- Npm: .npmrcトークンおよびOIDCトークン交換
- AWS: IMDS/ECSメタデータ、Secrets Manager、SSM、Web Identityトークン
- GitHub: ghp_/gho_/ghs_トークン、Actionsシークレット、プロセスメモリ
- 1Password: opコマンドラインインターフェースのボルトコンテンツ(opセッションがアクティブな場合)
- ファイルシステム:秘密鍵、接続文字列、GCP/Docker認証情報
この問題には脆弱性識別子CVE-2026-48027が割り当てられています。
Crossは、その個人がTanStacknpmパッケージの最近のサプライチェーン侵害を通じて正当なNx開発者のGitHub認証情報を取得できたことを説明しました。これは、一般的に「Mini Shai-Hulud キャンペーン」として知られている開発者エコシステムに影響を与えるより広範なサプライチェーン攻撃の一部でした。
TanStackは、最新のWebアプリを構築するためのオープンソース開発者ツールのコレクションであり、特にステート管理、データ取得、テーブル、ルーティング、および仮想化に焦点を当てています。
さらに、Crossは、悪意のあるNx Consoleバージョンのアップロードが他のNx管理者からの「手動承認なし」で実行されたことを認めました。
「今後これが起こるのを防ぐために、2人の管理者がリリースを手動で承認する必要があるように、Nx Consoleパブリッシングパイプラインを強化しました。」
メンテナーは数分後に悪意のあるバージョンの公開を取り消し、マイクロソフトはUTC 12:48にテイクダウンを完全に登録し、悪意のある拡張機能がVisual Studio Marketplaceで約18分間利用可能だったことを意味します。
TanStackハックについてさらに読む:Grafana Labsがコード侵害がTanStack攻撃に由来すると述べた
Nx CEOのCrossは、この事件で彼のソフトウェアが果たした役割について、彼の会社が「責任を取る」と述べました。彼は、脅威の調査と封じ込めを支援するために、GitHubおよびマイクロソフトを含む関係者全員に感謝しました。
「このインシデントは、開発者ツールとオープンソース配布をセキュアにする方法について、私たちおよび他のメンテナーが考える必要がある、より深い、より根本的な変更が必要であることを強調しています」と彼は付け加えました。
彼はまた、Nxが「パブリッシング、自動化、および拡張機能セキュリティ体制」への変更を既に実装し始めたと述べました。
「また、ソフトウェアサプライチェーンセキュリティ周辺のより深い構造的問題にどのように協力できるかについて、他の著名なオープンソースメンテナーとの会話を開始しています。エコシステムが何年にもわたって操作してきた仮定の多くは、もはや成立しません。」
3800のGitHub内部リポジトリが盗まれた
時間枠は短く見えるかもしれませんが、Nx Console拡張機能がインストールされ、自動更新が有効になっているVS Codeを実行している多くのオープンソースプロジェクト貢献者に感染させるのに十分な長さでした。
この状況にある人は、自分が侵害されたと仮定し、トークン、シークレット、SSHキー、およびあらゆる種類の認証情報を含む、ディスク上に保存されている認証キーをローテーションする必要があります。
攻撃者は、GitHubの内部リポジトリ約3800を盗むことができました。
GitHubは脅威を封じ込め、5月19日の更新で、悪意のある拡張機能バージョンを削除し、エンドポイントを分離し、すぐにインシデント対応を開始したことを説明しました。
「重大な秘密は昨日と一晩で最も影響力のある認証情報を優先してローテーションされました」とGitHubは付け加えました。「ログの分析を続け、秘密ローテーションを検証し、後続のアクティビティを監視します。調査が必要に応じて追加のアクションを取ります。」
同社はまた、調査が完了したら、より詳細なレポートを公開することを約束しました。
Team PCPがGitHubリポジトリを$95,000で売却していると言われている
侵害はTeamPCPハッキンググループによって主張されました。
このグループは最初に盗まれたデータについて「少なくとも$50,000」を要求してから、広告を投稿したと報じられました。その広告では、TeamPCPがLapsus$脅威グループとパートナーシップを組んで盗まれたデータを$95,000で売却しようとしています。
グループは、これが「身代金ではない」ことを述べ、GitHubを恐喝することに興味がないことを述べました。
代わりに、彼らはデータを1人の買い手にのみ売却し、「50k未満に興味がない」「最高のオファーがそれを得るだろう」と主張しました。買い手が見つかったらすぐに盗まれたデータを削除し、彼らの退職が迫っているように見えたことを追加すると認証しました。
また、買い手が見つからない場合は、データを無料で漏らすと警告しました。
画像クレジット:GitHub
翻訳元: https://www.infosecurity-magazine.com/news/github-breach-nx-console-vs-code/
