Nx Console的VS Code延伸套件被植入竊資軟體

此酬載是多階段憑證竊取工具，主要目的是對供應鏈投毒（supply chain poisoning），其功能是從GitHub、NPM、AWS、HashiCorp Vault、Kubernetes，以及1Password收集權杖及憑證，然後透過HTTPS、GitHub API，以及DNS隧道等3種管道洩露。值得留意的是，對於macOS作業系統的開發環境，駭客還會部署Python後門，並濫用GitHub Search API充當Dead Drop資料交換管道，藉此接收攻擊者的指令。

Nx開發團隊發布資安公告證實此事，並表示他們在VS Code延伸套件市集與Open VSX儲存庫先後發現惡意套件，兩個套件分別在上架後的18分鐘、36分鐘移除。這起事故發生的原因，就是其中一名開發者遭遇TanStack供應鏈攻擊，導致GitHub憑證外流，攻擊者得以冒充開發者的身分執行該團隊GitHub儲存庫的工作流程。該團隊將這起事故登記為CVE-2026-48027，並將危險程度評為重大等級。

對於這起事故造成的影響，Nx指出，微軟起初表示安裝惡意套件的數量有28個，Open VSX表示安裝惡意套件的數量是41個，但根據該開發團隊內部分析的結果，Nx認為VS Code用戶約下載並啟動惡意套件約有6千次，此外，也有Cursor用戶受害。