Ein an Entwickler gerichteter Angriff zeigte erneut die Fragilität der Software-Versorgungskette: Die Nx Console-Erweiterung für Editoren wie Visual Studio Code, mit mehr als 2,2 Millionen Einrichtungen, veröffentlichte eine kompromittierte Version (rwl.angular-console v18.95.0), die bei der Eröffnung eines beliebigen Arbeitsraums eine verdeckte Nutzlast heruntergeladen und ausgeführt hat, die im Code des offiziellen Projekts gehostet wird. Der Vektor kombiniert Engineering im Repository und lokale Beharrlichkeit, um ein Produktivitätstool in einen geheimen Extraktor zu verwandeln.
Laut öffentlicher Analyse ist die Nutzlast ein mehrzeiliges System von Anmeldeinformationen Diebstahl und Lieferkettenvergiftung: es installiert die Laufzeit Bun, um ein ofuscado JavaScript zu betreiben, vermeidet Umgebungen in russischen / CIS Zeitzonen, läuft im Hintergrund und extrahiert Geheimnisse von lokalen Managern wie 1Password, Anthropic Claude Code Konfigurationen, npm Token, GitHub Schlüssel und Token. Darüber hinaus wurde eine Hintertür in macOS mit der GitHub-Such-API als "Dead Drop"-Kanal gemeldet, um Bestellungen zu empfangen, und Exfiltrationsmechanismen einschließlich HTTPS, GitHub API und DNS gestimmt.
Was das Risiko auf ein neues Level erhöht ist die Integration mit Sigstore und die Fähigkeit, SLSA Provenance und Fulcio Zertifikate zu generieren, kombiniert mit gestohlenen Npm-Tokens OIDC: ein Angreifer, der diese Elemente dominiert, kann Pakete mit gültigen Signaturen und Atstations veröffentlichen, die als verifizierte Gebäude erscheinen, Eroding eines der wenigen kryptographischen Mechanismen zur Wiederherstellung des Vertrauens in binäre Artefakte. Diese Technik verwandelt die gestohlenen Anmeldeinformationen in einen Hebel zu giftabhängigen Ökosystemen.
Die Betreuer haben die Wurzel des Problems auf verübte Anmeldeinformationen von einem ihrer Entwickler zurückzuführen, die ein Waisenvergehen erlaubte, in das betroffene Repository hochgeladen zu werden. Das Belichtungsintervall, in dem die schädliche Version installiert wurde, war kurz, aber ausreichend: zwischen 18. Mai 2026 um 14: 36 und 14: 47 CEST, entsprechend der Mitteilung. Open VSX, die Open Distribution Alternative, war nicht betroffen, was verdeutlicht, wie ein einzelner Kanal beteiligt sein kann, um Millionen von Benutzern zu beeinflussen.
Die veröffentlichten Verpflichtungsindikatoren umfassen Disk Artefakte wie ~ / .local / share / kitty / cat.py, ~ / Library / LaunchAgens / com.user.kitty-monitor, / var / tmp / .gh _ update _ state and / tmp / kitty- *, sowie laufende Prozesse im Zusammenhang mit einer Python Laufkatze oder mit _ DAEMONIZED = 1 markierte Prozesse in Ihrer Umgebung. Wenn Sie eine dieser Spuren erkennen, müssen Sie sofort handeln.: Stoppen Sie verdächtige Prozesse, entfernen Sie die angegebenen Dateien und drehen Sie alle möglichen Anmeldeinformationen von der kompromittierten Maschine.
Neben den dringenden Aktionen auf der Workstation-Ebene gibt es wesentliche Maßnahmen zur Verteidigung der Lieferkette: Aktualisieren der Erweiterung auf die korrigierte Version (18.100.0 oder später), Reklamieren und Reissue-Token und Schlüssel (nicht nur auf dem lokalen Team, sondern auf CI / CD-Systemen, Repositorien und Cloud-Services), Audit-Pipelines durch im Engagement-Fenster veröffentlichte Geräte und überprüfen die Integrität eines mit aktuellen Zertifikaten oder Assays veröffentlichten npm-Pakets. Es ist auch angebracht, Netzwerkprotokolle für die Tunnelung von DNS-Mustern und ungewöhnliche Anrufe an externe APIs zu überprüfen.
Dieser Vorfall erinnert an die August 2025 s1ngularity Kampagne und eine jüngste Welle von schädlichen npm Pakete, die von versteckten ELF-Binaries zu Ratten und Browser-Cookies Räuber enthalten: die anhaltende Bedrohung ist Angriffe, die direkt an Entwickler und Pipelines anstatt End-Nutzer, weil das Engagement diejenigen, die unterschreiben, bauen oder veröffentlichen Software multipliziert die Reichweite des Angreifers. Für diejenigen, die Projekte und Organisationen verwalten, bedeutet dies, die Kontrollen auf den Wartungskonten zu stärken, den Umfang von OIDC-Token zu begrenzen, periodische Rotation anzuwenden, eine starke Multifaktor-Authentifizierung (vorzugsweise mit physikalischen Schlüsseln) zu ermöglichen und SLSA-Attribute in Paketen zu überprüfen, bevor sie in der Produktion akzeptiert werden.
Die relevanten Repositories, in denen Sie den offiziellen Code und die Korrekturen überprüfen können, sind das Nx Console Repository in GitHub ( https: / / github.com / nrwl / nx-console) und der Nx monorep ( https: / / github.com / nrwl / nx) Um den Risikobereich besser zu verstehen, der die Signatur und Herkunft von Artefakten einführt, ist die Dokumentation von Sigstore eine nützliche Lektüre ( https: / / sigstore.dev), und wenn Sie die Laufzeit der Ausführung der Nutzlast überprüfen müssen, erklärt Buns offizielle Seite, wie sie funktioniert ( https: / / bun.sh)
Kurz gesagt, dieser Vorfall bestätigt, dass die Sicherheit der Lieferkette sowohl von technischen Kontrollen in den Repositorien und CI / CD als auch von der Hygiene der Endpunkte der Entwickler abhängt. Die unmittelbare Aktion für die betroffenen Benutzer ist die Aktualisierung der Erweiterung, die Beseitigung von Artefakten und Prozessen und die Rotation aller Anmeldeinformationen; die strategische Aktion für die Ausrüstung ist es, die Zugangsrichtlinien zu verschärfen, die Verschärfung von Genehmigungen zu verringern und die Verwendung von Unterschriften und Bescheinigungen auf der Suche nach Anomalien zu überwachen. Prävention und Früherkennung bleiben die besten Abwehrmaßnahmen gegen Angriffe, die Entwicklungswerkzeuge in Massenverpflichtungsvektoren verwandeln.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...