聚焦源代码安全网罗国内外最新资讯编译代码卫士专栏·供应链安全数字化时代软件无处不在。软件如同社会中的“虚拟人”已经成为支撑社会正常运转的最基本元素之一软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展软件供应链也越发复杂多元复杂的软件供应链会引入一系列的安全问题导致信息系统的整体安全防护难度越来越大。近年来针对软件供应链的安全攻击事件一直呈快速增长态势造成的危害也越来越严重。为此我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯分析供应链安全风险提供缓解建议为供应链安全保驾护航。注以往发布的部分供应链安全相关内容请见文末“推荐阅读”部分。GitHub已证实称一名员工安装了一个恶意的 VS Code 扩展导致约3800个内部仓库被盗。GitHub 虽然并未提到该扩展的名称但负责运营 Nx 的公司首席执行官 Jeff Cross已在社交媒体证实称GitHub 安全事件的初始攻击向量是 Nx Console 扩展。不过 Jeff Cross 在后续更新中表示“目前仍在等待GitHub 在时候调查报告中确认 Nx Console 就是那个未具名的 VSC 扩展但我认为是。”GitHub 发布最新调查进展GitHub 在社交媒体发布调查进展时表示“昨天我们检测并阻止了一起因员工设备安装了一个投毒 VS Code 扩展导致的安全事件。我们删除了该恶意扩展版本、隔离了端点并立即启动了事件响应。”GitHub 还表示当前评估认为该攻击仅泄露了 GitHub 的内部仓库。目前的调查结果与黑客团伙 TeamPCP 声称攻陷3800仓库的说法一致。为此谷歌采取多项措施来减少风险昨天更换了关键密钥并优先处理影响最大的凭据。目前仍在继续分析日志、验证密钥更换并监控后续活动。虽然 GitHub 并未说明该扩展的名称但负责运营 Nx 的公司首席执行官 Jeff Cross 最新发布帖子表示“目前仍在等待GitHub 在时候调查报告中确认 Nx Console 就是那个未具名的 VSC 扩展但我认为是。”Nx 回应负责运营 Nx 的Narwhal 技术公司的首席执行官 Jeff Cross 也在社交媒体上表示“GitHub 今天发布的报告证实称受陷 Nx Console 扩展是本次攻击的初始访问向量。作为 Nx 的首席执行官读到这个结论难以接受不过还是希望直接说明我们为自身软件在本次事件中所扮演的角色担责。” Jeff Cross 感谢 GitHub、微软和其它独立团队迅速调查、遏制并公开共享信息。他指出“本次事件凸显了我们和其它维护人员需要更加深入和深刻地思考如何保护开发者工具和开源工作。”他提到已经在发布、自动化和扩展安全态势方面进行重大调整并将在执行后继续公开分享。他指出已经和其它高级别开源维护人员探讨如何合力保护软件供应链的安全并提到目前的工作重心是支持受影响用户、加固 N 并助力促进更广范围的生态系统采取更强有力的供应链安全实践。当有人提到为何Nx 通过恰当的管道并以经过证明的方式发布 Nx但一名开发人员仍然能够通过官方渠道提交恶意 commit。也有人提到去年8月就发生了类似事件质疑本次响应是否做出改变从而发挥作用。Jeff Cross 表示后续将发布完整详情复盘整个事件。受影响 Nx 版本Jeff Cross 表示目前仍然和微软以及 GitHub 协同调查 Nx Console 18.95.0 恶意版本造成的影响。最初微软表示该恶意版本的安装次数为28次但根据Nx自身的调查受感染的用户数量应当远超这个数字安装量可能超过6000次。TeamPCP 团伙要价至少5万美元TeamPCP 在地下论坛发布帖子称这些被盗数据的要价至少5万美元。该团伙此前多次针对开发者代码平台发动大规模供应链攻击攻击对象包括 GitHub、PyPI、NPM、Docker更有近期影响两名 OpenAI 员工的 Mini Shai-Hulud 供应链攻击事件。VS Code 扩展常遭利用这也并非 VS Code 扩展被木马化。除了 Nx 扩展外其它扩展的恶意版本也被安装数百万次窃取用户凭据和其它敏感数据。如去年下载量达到900万次的 VSCode 扩展就制造多起安全风险事件伪装成合法的开发工具导致用户感染 XMRig 密币矿机。GitHub 基于云的平台目前用于400多家组织机构其中90%是财富100强企业超过1.8亿开发人员为超过4.2亿代码仓库贡献力量。开源卫士试用地址https://sast.qianxin.com/#/login代码卫士试用地址https://codesafe.qianxin.com推荐阅读在线阅读版《2025中国软件供应链安全分析报告》全文奇安信Qcode Agents重磅升级正式解锁操作系统级漏洞挖掘能力Grafana 令牌被盗GitHub 环境可遭访问且代码库被下载TeamPCP再发动供应链攻击数百个恶意包被上传RubyGems 暂停新账号注册Checkmarx 再遭攻击Jenkins AST 插件受陷Go 流行库 fsnotify 的维护人员访问权限变更拉响供应链攻击警报Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险自传播供应链蠕虫劫持 npm 包窃取开发人员令牌Axios 严重漏洞可导致 RCETrivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播热门包管理器中存在多个漏洞JavaScript 生态系统易受供应链攻击开源自托管平台 Coolify 修复11个严重漏洞可导致服务器遭完全攻陷得不到就毁掉第二轮Sha1-Hulud供应链攻击已发起影响2.5万仓库vLLM 高危漏洞可导致RCE开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源热门 React Native NPM 包中存在严重漏洞开发人员易受攻击10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据热门 React Native NPM 包中存在严重漏洞开发人员易受攻击热门NPM库 “coa” 和“rc” 接连遭劫持影响全球的 React 管道开发人员注意VSCode 应用市场易被滥用于托管恶意扩展GitHub Copilot 严重漏洞可导致私有仓库源代码被盗受 Salesforce 供应链攻击影响全球汽车巨头 Stellantis 数据遭泄露捷豹路虎数据遭泄露生产仍未恢复幕后黑手或与 Salesforce-Salesloft 供应链攻击有关十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者原文链接https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~