一场精心策划的供应链攻击正在让数百万软件开发者陷入前所未有的安全危机——他们每天赖以工作的编辑器、自动化流水线以及版本控制工具,竟统统沦为攻击者窃取凭证、云令牌和源代码的致命武器。更令人不安的是,在部分案例中,恶意软件甚至无需开发者执行任何操作,便能悄无声息地感染设备。 这起攻击由两条相互交织的战线同时展开。第一波攻势始于2026年5月18日,一款被植入后门的Nx Console VS Code扩展(版本18.95.0)悄然上线Visual Studio Code官方市场。该扩展此前拥有超过220万次安装量,意味着波及范围从一开始就极为惊人。攻击得手后,一台GitHub员工的设备也被攻破,直接导致约3800个内部GitHub源代码仓库遭到非授权访问和外泄,损失难以估量。 美国网络安全与基础设施安全局(CISA)的分析团队迅速查明威胁全貌,并于5月28日发布紧急警报,指出攻击者正以协同化的方式,将CI/CD流水线、代码扩展和云环境作为重点打击目标。恶意扩展已被分配漏洞编号CVE-2026-48027,并列入CISA已知被利用漏洞目录。CISA在一份与Cyber Security News分享的报告中强调:凡是运行过该受感染扩展的机器,都应一律视为已被完全攻陷。 几乎在同一时间,名为“巨齿鲨”(Megalodon)的第二场行动也在同步推进。5月18日当天,一个高度自动化的攻击者在短短六小时内,向5561个公开GitHub仓库推送了多达5718个恶意提交。这些被注入的GitHub Actions工作流专为收割CI/CD机密、云凭据、SSH密钥和OIDC令牌而生,所有窃得数据均被即时传送至攻击者的命令与控制服务器。两起攻击行动清晰揭示了一个冷酷现实:现代软件交付流水线已成为渴求凭据的攻击者眼中最具价值的目标。开发者赖以高效运转的工具,如今正在被肆意滥用为刺向自身的利刃。
热门跟贴