Napadači zloupotrebljavaju razvojne alate: krađa koda i tajni preko zagađenih ekstenzija
Zagađene VS Code ekstenzije i GitHub commitovi izvukli su kod, ključeve i kredencijale od miliona programera.
Šta se desilo?
Dva koordinirana napada na razvojnu infrastrukturu dovela su do masivne krađe koda, kriptografskih ključeva i Cloud kredencijala. U prvom slučaju, zagađena verzija popularne Nx Console ekstenzije za VS Code (verzija 18.95.0) učitana je na tržište 18. maja i preuzeta preko 2,2 miliona puta. Drugi napad, poznat kao "Megalodon", automatski je injektovao 5.718 zlonamerni commitova u 5.561 javno dostupno GitHub repozitorijuma u roku od šest sati.
Koga pogađa?
Ugroženi su svi razvojni inženjeri koji koriste VS Code i Nx Console ekstenziju, kao i kompanije čiji su repozitorijumi bili meta "Megalodon" kampanje. GitHub je direktno pogođen - napadači su pristupili i izvukli oko 3.800 internih repozitorijuma kompanije. Organizacije koje koriste GitHub Actions i CI/CD pipeline sisteme, kao i sve firme čiji dozvoli za pristup Cloud resursima su potencijalno kompromitovani.
Kako se zaštititi?
- Odmah ispitajte sve mašine na kojima je izvršavana Nx Console verzija 18.95.0 i tretrajte ih kao u potpunosti kompromitovane
- Regenerujte sve Cloud kredencijale, SSH ključeve, OIDC tokene i GitHub personal access tokene ako postoji mogućnost da su bili dostupni
- Pregledajte Git istoriju u svim repozitorijumima za sumnjive "orphan" commitove ili neočekivane GitHub Actions workflow fajlove
- Ažurirajte Nx Console ekstenziju na verziju noviju od 18.95.0 čim bude dostupna
- Primenite principu minimalnih dozvola za CI/CD sisteme i Cloud pristup
- Omogućite dvofaktorsku autentifikaciju na svim razvojnim alatima i GitHub nalozima
Tehnički detalji
CVE oznaka za zagađenu ekstenziju je CVE-2026-48027 i dodana je u CISA katalog poznatih eksploatisanih ranjivosti. Prvi napad je korišćen krađeni GitHub personal access token pribiljen iz prethodnog supply chain incidenta, koji je omogućio napadačima da injektuju 498 KB obfuscirane JavaScript koda u nrwl/nx repozitorijum. Drugi napad je ciljao CI/CD pipeline tajne i Cloud kredencijale kroz manipulisane GitHub Actions workflow fajlove, slanjem podataka na attacker-ov command-and-control server.
Preporuka Sajber Radara
Ovo je kritično upozorenje za sve razvoje timove - nikada ne smatrajte da su razvojni alati i ekstenzije imuni na napade. Odmah primenite sve korake sanacije, a dugoročno implementirajte stroga kontrole zavisnosti koda, sigurnosne skenere za ekstenzije i neprekidan monitoring Git istorije.
