📋 漏洞概述

Nx Console扩展被植入恶意代码，可窃取磁盘和内存中的凭证信息。

📋 基础信息

🔬 漏洞根因

攻击者通过未知途径（推测为发布凭据泄露或CI/CD管道入侵）将恶意代码植入Nx Console的官方扩展包中。该恶意代码在扩展加载时执行，从多个预定义路径（如~/.aws/credentials、~/.ssh、~/.npmrc）和进程内存中提取凭证，并通过混淆的远程地址外发。

🎯 攻击场景

1. 攻击者首先获得Nx Console扩展仓库的发布权限（推测通过泄露的令牌或社会工程）。 2. 攻击者修改扩展源码，植入一个经混淆处理的第二阶段payload下载器。 3. 恶意版本通过VS Code市场或npm等渠道发布，用户通过自动更新或手动安装获取。 4. 扩展启动时，恶意代码从远程服务器下载并执行解密后的窃密脚本。 5. 窃密脚本扫描本地文件系统（~/.aws/credentials等）和进程内存中的密钥、令牌，打包后发送至攻击者控制的C2服务器。

💥 漏洞影响

攻击者可窃取AWS密钥、SSH私钥、npm token、Git凭证等敏感信息，进而导致云资源劫持、代码仓库篡改、横向移动等连锁安全事件。所有使用受影响版本的开发者及其关联基础设施均面临数据泄露风险。

🛡️ 修复建议

立即在VS Code扩展管理器中禁用并卸载Nx Console，检查市场最新版本是否已修复（由厂商确认无恶意后重新安装）。同时，立即轮换所有可能暴露的凭证（云服务密钥、API令牌、SSH密钥），并审计近期来自关联账户的异常活动。临时缓解措施：使用网络代理规则阻止扩展对外部硬编码IP/域名的连接。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-48027
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-48027
• 原始来源（CISA-KEV）

🚨 威胁评估

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-28 08:07 | 来源: CISA-KEV