An ninh mạng

Cảnh báo: Extension Nx Console trên VS Code bị chiếm quyền, phát tán mã độc đánh cắp thông tin lập trình viên

Phiên bản 18.95.0 của extension Nx Console trên VS Code Marketplace đã bị kẻ tấn công chiếm quyền, cài cắm mã độc đánh cắp thông tin nhạy cảm từ máy tính của hàng nghìn lập trình...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
2 0

Cộng đồng lập trình đang đối mặt với một đợt tấn công chuỗi cung ứng nghiêm trọng sau khi phiên bản 18.95.0 của extension Nx Console trên Visual Studio Code (VS Code) Marketplace bị phát hiện chứa mã độc. Đây là công cụ phổ biến với hơn 2,2 triệu lượt cài đặt, hỗ trợ các trình soạn thảo như VS Code, Cursor và JetBrains.

Table Of Content

Chi tiết cuộc tấn công

Theo các nhà nghiên cứu từ StepSecurity, ngay khi lập trình viên mở workspace, extension này sẽ âm thầm tải về và thực thi một payload đã được làm rối (obfuscated) từ một commit ẩn trong kho lưu trữ GitHub chính thức của nrwl/nx. Mã độc này hoạt động như một công cụ đánh cắp thông tin đa giai đoạn, khai thác các bí mật (secrets) của lập trình viên và gửi dữ liệu ra ngoài qua HTTPS, GitHub API và DNS tunneling.

Đáng chú ý, mã độc còn có khả năng:

  • Cài đặt backdoor Python trên macOS, sử dụng GitHub Search API để nhận lệnh điều khiển từ xa.
  • Đánh cắp dữ liệu từ 1Password, cấu hình Anthropic Claude Code, cũng như các token liên quan đến npm, GitHub và AWS.
  • Tích hợp Sigstore để tạo ra các chứng chỉ giả mạo, giúp kẻ tấn công phát hành các gói npm độc hại dưới danh nghĩa các bản build hợp lệ.

Nguyên nhân và phạm vi ảnh hưởng

Đội ngũ phát triển Nx xác nhận nguyên nhân bắt nguồn từ việc một lập trình viên của họ bị lộ thông tin đăng nhập GitHub sau một cuộc tấn công chuỗi cung ứng nhắm vào TanStack. Kẻ tấn công đã lợi dụng quyền truy cập này để đẩy một commit độc hại lên kho lưu trữ, từ đó phát hành phiên bản extension bị nhiễm mã độc.

Mặc dù Microsoft ban đầu ghi nhận 28 lượt cài đặt, nhưng phân tích từ phía Nx cho thấy con số thực tế có thể lên tới hơn 6.000 người dùng. Phiên bản độc hại này tồn tại trên Marketplace trong khoảng thời gian ngắn vào ngày 18/5/2026.

Khuyến nghị cho lập trình viên

Nếu bạn đã cài đặt hoặc cập nhật Nx Console trong khoảng thời gian từ ngày 18/5/2026, hãy thực hiện ngay các bước sau:

  • Cập nhật ngay lập tức: Nâng cấp lên phiên bản 18.100.0 hoặc mới hơn.
  • Kiểm tra dấu hiệu nhiễm độc: Tìm kiếm các file lạ như ~/.local/share/kitty/cat.py, ~/Library/LaunchAgents/com.user.kitty-monitor.plist hoặc các tiến trình Python đang chạy ngầm với biến môi trường __DAEMONIZED=1.
  • Xử lý sự cố: Ngắt các tiến trình nghi vấn, xóa các file lạ và thực hiện xoay vòng (rotate) toàn bộ các loại secret, bao gồm token, mật khẩu, khóa SSH và các thông tin xác thực đã lưu trên máy tính.

Sự việc lần này là lời cảnh báo đắt giá về rủi ro trong chuỗi cung ứng phần mềm, nơi các tài khoản của nhà phát triển trở thành mắt xích yếu nhất để kẻ tấn công xâm nhập vào hệ thống của người dùng cuối.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept