更新時間:2026/06/02 15:35:22
發佈時間:2026/06/02 15:35:22
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Nx Console存在一項嵌入惡意程式碼漏洞(CVE-2026-48027,CWE-506)。遭植入惡意內容的Nx Console版本曾短暫發布至Visual Studio Marketplace與OpenVSX平台,目前已移除受影響版本。該惡意套件具憑證與Token竊取功能,可自開發環境蒐集GitHub、NPM、AWS、Vault及1Password等服務的Token與憑證資料。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[2]
2. GitHub表示,其一名員工裝置遭入侵,並與第三方發布之惡意 VS Code 延伸套件有關,而攻擊者聲稱取得約3,800個內部儲存庫。[3]
三、F-ISAC彙整Nx所提供入侵威脅指標如附檔。[4]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-48027
描述:
使用版本:CVSS-B 4.0
分析分數:9.3
參考來源:GitHub
▶ 影響平台
⌵
影響平台-系統:
1. Nx Console 18.95.0版本受影響,建議升級至18.100.0或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w | GitHub(Nx) |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 3 | https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/ | GitHub Blog |
| 4 | https://nx.dev/blog/nx-console-v18-95-0-postmortem#indicators-of-compromise | Nx入侵威脅指標 |
情資編號:
FISAC-200-202606-0003
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞