当前位置：首页 > article >正文

GitHub 被黑或因员工安装 Nx Console 恶意扩展引发，更多详情待调查

article 2026/5/22 3:02:33

聚焦源代码安全网罗国内外最新资讯编译代码卫士专栏·供应链安全数字化时代软件无处不在。软件如同社会中的“虚拟人”已经成为支撑社会正常运转的最基本元素之一软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展软件供应链也越发复杂多元复杂的软件供应链会引入一系列的安全问题导致信息系统的整体安全防护难度越来越大。近年来针对软件供应链的安全攻击事件一直呈快速增长态势造成的危害也越来越严重。为此我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯分析供应链安全风险提供缓解建议为供应链安全保驾护航。注以往发布的部分供应链安全相关内容请见文末“推荐阅读”部分。GitHub已证实称一名员工安装了一个恶意的 VS Code 扩展导致约3800个内部仓库被盗。GitHub 虽然并未提到该扩展的名称但负责运营 Nx 的公司首席执行官 Jeff Cross已在社交媒体证实称GitHub 安全事件的初始攻击向量是 Nx Console 扩展。不过 Jeff Cross 在后续更新中表示“目前仍在等待GitHub 在时候调查报告中确认 Nx Console 就是那个未具名的 VSC 扩展但我认为是。”GitHub 发布最新调查进展GitHub 在社交媒体发布调查进展时表示“昨天我们检测并阻止了一起因员工设备安装了一个投毒 VS Code 扩展导致的安全事件。我们删除了该恶意扩展版本、隔离了端点并立即启动了事件响应。”GitHub 还表示当前评估认为该攻击仅泄露了 GitHub 的内部仓库。目前的调查结果与黑客团伙 TeamPCP 声称攻陷3800仓库的说法一致。为此谷歌采取多项措施来减少风险昨天更换了关键密钥并优先处理影响最大的凭据。目前仍在继续分析日志、验证密钥更换并监控后续活动。虽然 GitHub 并未说明该扩展的名称但负责运营 Nx 的公司首席执行官 Jeff Cross 最新发布帖子表示“目前仍在等待GitHub 在时候调查报告中确认 Nx Console 就是那个未具名的 VSC 扩展但我认为是。”Nx 回应负责运营 Nx 的Narwhal 技术公司的首席执行官 Jeff Cross 也在社交媒体上表示“GitHub 今天发布的报告证实称受陷 Nx Console 扩展是本次攻击的初始访问向量。作为 Nx 的首席执行官读到这个结论难以接受不过还是希望直接说明我们为自身软件在本次事件中所扮演的角色担责。” Jeff Cross 感谢 GitHub、微软和其它独立团队迅速调查、遏制并公开共享信息。他指出“本次事件凸显了我们和其它维护人员需要更加深入和深刻地思考如何保护开发者工具和开源工作。”他提到已经在发布、自动化和扩展安全态势方面进行重大调整并将在执行后继续公开分享。他指出已经和其它高级别开源维护人员探讨如何合力保护软件供应链的安全并提到目前的工作重心是支持受影响用户、加固 N 并助力促进更广范围的生态系统采取更强有力的供应链安全实践。当有人提到为何Nx 通过恰当的管道并以经过证明的方式发布 Nx但一名开发人员仍然能够通过官方渠道提交恶意 commit。也有人提到去年8月就发生了类似事件质疑本次响应是否做出改变从而发挥作用。Jeff Cross 表示后续将发布完整详情复盘整个事件。受影响 Nx 版本Jeff Cross 表示目前仍然和微软以及 GitHub 协同调查 Nx Console 18.95.0 恶意版本造成的影响。最初微软表示该恶意版本的安装次数为28次但根据Nx自身的调查受感染的用户数量应当远超这个数字安装量可能超过6000次。TeamPCP 团伙要价至少5万美元TeamPCP 在地下论坛发布帖子称这些被盗数据的要价至少5万美元。该团伙此前多次针对开发者代码平台发动大规模供应链攻击攻击对象包括 GitHub、PyPI、NPM、Docker更有近期影响两名 OpenAI 员工的 Mini Shai-Hulud 供应链攻击事件。VS Code 扩展常遭利用这也并非 VS Code 扩展被木马化。除了 Nx 扩展外其它扩展的恶意版本也被安装数百万次窃取用户凭据和其它敏感数据。如去年下载量达到900万次的 VSCode 扩展就制造多起安全风险事件伪装成合法的开发工具导致用户感染 XMRig 密币矿机。GitHub 基于云的平台目前用于400多家组织机构其中90%是财富100强企业超过1.8亿开发人员为超过4.2亿代码仓库贡献力量。开源卫士试用地址https://sast.qianxin.com/#/login代码卫士试用地址https://codesafe.qianxin.com推荐阅读在线阅读版《2025中国软件供应链安全分析报告》全文奇安信Qcode Agents重磅升级正式解锁操作系统级漏洞挖掘能力Grafana 令牌被盗GitHub 环境可遭访问且代码库被下载TeamPCP再发动供应链攻击数百个恶意包被上传RubyGems 暂停新账号注册Checkmarx 再遭攻击Jenkins AST 插件受陷Go 流行库 fsnotify 的维护人员访问权限变更拉响供应链攻击警报Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险自传播供应链蠕虫劫持 npm 包窃取开发人员令牌Axios 严重漏洞可导致 RCETrivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播热门包管理器中存在多个漏洞JavaScript 生态系统易受供应链攻击开源自托管平台 Coolify 修复11个严重漏洞可导致服务器遭完全攻陷得不到就毁掉第二轮Sha1-Hulud供应链攻击已发起影响2.5万仓库vLLM 高危漏洞可导致RCE开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源热门 React Native NPM 包中存在严重漏洞开发人员易受攻击10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据热门 React Native NPM 包中存在严重漏洞开发人员易受攻击热门NPM库 “coa” 和“rc” 接连遭劫持影响全球的 React 管道开发人员注意VSCode 应用市场易被滥用于托管恶意扩展GitHub Copilot 严重漏洞可导致私有仓库源代码被盗受 Salesforce 供应链攻击影响全球汽车巨头 Stellantis 数据遭泄露捷豹路虎数据遭泄露生产仍未恢复幕后黑手或与 Salesforce-Salesloft 供应链攻击有关十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者原文链接https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或赞” 吧~

GitHub 被黑或因员工安装 Nx Console 恶意扩展引发，更多详情待调查

相关文章：

GitHub 被黑或因员工安装 Nx Console 恶意扩展引发，更多详情待调查

独家逆向分析ElevenLabs印地文语音模型架构（基于HTTP/3流量捕获+声学特征聚类）：发现其隐式支持马拉地语-印地语混合语境

2026年长沙美缝施工团队哪家强？专业之选等你来揭秘！

2026年想找口碑好的长沙瓷砖美缝？哪家专业这里给你答案！

2026年，专业打造湖南美缝施工极致体验的宝藏公司你知道吗？

模型加速全景图：从“瘦身”到“飞驰”的知识图谱

淘宝淘金币自动化脚本：3步解放你的双手，每天多赚30分钟自由时间

农业电商服务系统（10078）

kafka安装与可视化工具offset explore连接操作说明

名胜古迹旅游网站的设计与实现（10076）

谷歌 I/O 开发者大会亮点多：Gemini Spark、YouTube 搜索等新功能来袭！

一键部署开源 AI 项目教程：OpenClaw 下载安装启动卸载全流程

AI写论文秘籍！4款AI论文写作工具，解决论文创作的烦恼！

AI设计泳装，效率能翻几倍？

GanttProject免费开源项目管理工具：简单高效的甘特图软件完全指南

终极文档下载指南：如何用kill-doc一键拯救30+平台的文档资源

毫米波高汇聚空馈天线技术【附方案】

实战指南：5个关键技术揭秘PUBG罗技鼠标宏后坐力控制脚本

uml学习笔记（1）

Onekey Steam清单下载工具：3步搞定游戏清单管理的终极指南

进口与国产扁线电感参数PK:Coilcraft SER2918H-103KL vs TONEVEE ZER2918-H103K

Promptfoo的搭建与测试，2026-0521成功版很简单

人工智能在科学领域需要设立防护措施，避免对它不加批判地采用

深度解析:光引擎、光模块、光器件之间的关系和区别?

干翻特斯拉？雷军说输给特斯拉不丢人

人教版高中英语选择性必修四单词音频+单词表+单词默写表（2026年最新）

硬件工程选型解析：钡特电源VB6-48S03MD与金升阳URB4803YMD-6WR3属工业标准模块电源

LLM处理半结构化数据，csv数据 :在序列化层对字段按熵分层路由——把每个低熵层一次性全局总结、把高熵 TEXT 用“质心+样例“做率最优覆盖、把寻址 α 显式落进 prompt

吃透Agent Runtime九大核心设计，从基础跑通到工业级稳定落地

3C产品功能太多15秒讲不完？用爆款复刻Agent做2分钟完整演示，用户看完直接下单