github近期遭受了一次嚴重的供應鏈攻擊,導致約3,800個私有代碼倉庫被盜。根本原因並非外部入侵,而是源自一個廣受信賴的vs code擴展——nx console。一個惡意版本v18.95.0在未經人工審核的情況下被發布,並利用被攻陷的維護者帳號植入了一個隱蔽後門,自動從本地環境中竊取敏感憑證,進而直接連接到github的內部網路,實現橫向移動與資料外洩。
這條攻擊鏈極其複雜:攻擊者首先透過針對tanstack的供應鏈漏洞獲取了nx console核心維護者的憑證;隨後以合法憑證向微軟visual studio code市場提交更新,從發布到大範圍分發再到下架,整個過程僅耗時36分鐘。儘管官方監控系統只記錄了28次安裝,但openvsx平台數據顯示實際安裝次數高達41次。然而,透過分析擴展啟用日誌,nx console團隊確認vs code端的實際使用量超過6,000例,其中包括多名github員工,最終導致內部網路的大規模洩密。
更令人擔憂的是,這段惡意載荷在macos系統上具備持久化能力,使得傳統卸載程序無法完全清除。nx console團隊已在github上發布了一份全面的清理指南,建議所有曾安裝過該版本的用戶立即更換憑證、審查登入紀錄,並按照指南徹底檢查系統中是否殘留任何痕跡。對於高風險情況,重新安裝作業系統則被視為最可靠的應急方案。
為防止類似攻擊路徑再次發生,nx console宣布全面取消「無審核發布」機制,改採多因子人工審核流程。這項改進不僅適用於自身生態系統,也為整個vs code插件社群敲響了警鐘:自動化發布必須讓位於安全、可控的流程,信任絕不應取代驗證。
攻擊時間軸(utc)
2026年5月19日中午12:30:惡意版本v18.95.0在vs code市場上線
12:36:開發團隊收到自動發布通知
12:47:向微軟提交緊急下架申請
12:48:微軟完成下架作業
13:09:openvsx平台同步下架該惡意版本
實際暴露時間僅36分鐘,但影響卻遠超預期。當務之急是迅速回應、全面清點、嚴格進行憑證輪換,並展開深入的法證調查。
