OpenClaw—AI研究近日,GitHub披露了一起严重的供应链攻击事件:数千个内部仓库被黑客通过入侵Nx Console的VS Code扩展程序而遭到渗透,攻击者获取了包括私有代码、API密钥、部署凭证等敏感数据。这是继去年多起开源供应链攻击后,开发者生态面临的又一次重大安全危机。
此次攻击的核心切入点是一个被广泛使用的开发工具——Nx Console。这是Nrwl公司维护的知名Monorepo工具链Nx的可视化VS Code扩展,在全球开发者群体中拥有大量用户基础。由于其深度集成了开发者的日常编码工作,攻击者选择它作为突破口,意味着能触达极其广泛的开发环境。
攻击者首先通过钓鱼攻击或第三方数据泄露获取了Nrwl公司内部员工的GitHub凭证,随后利用这些凭证将恶意代码注入到Nx Console扩展的合法更新包中。由于扩展程序本身具备自动更新机制,开发者们在毫无察觉的情况下就收到了带毒的更新。
恶意代码被植入扩展的更新流程后,会在开发者使用VS Code时静默收集本地Git仓库的配置信息、SSH密钥、以及存储在环境变量中的各类凭证,并上传到攻击者控制的外部服务器。整个过程不触发任何安全警告,隐蔽性极强。
GitHub在接到匿名举报后展开了紧急调查,确认共有超过4000个内部仓库受到影响,其中包括为大型企业客户托管的私有代码仓库以及部分GitHub自身的内部项目。受影响的仓库涉及多个头部科技公司的私有项目。
这起事件再次暴露了现代软件开发中供应链安全的脆弱性。即使是拥有严密安全团队的大型平台,也可能因为一个上游依赖的沦陷而全面溃败。开发工具的信任链一旦被攻破,影响范围远超普通应用漏洞。
安全专家建议开发者在安装任何扩展程序前,务必检查扩展的权限请求是否合理;企业应启用依赖签名验证,并对关键系统实行最小权限原则;工具链厂商则应对所有代码更新实施多因素审批机制,防止单一凭证泄露导致全面渗透。