惡意VS Code外掛程式入侵GitHub內部儲存庫，3,800個代碼庫遭洩露

GitHub週三證實，其內部儲存庫遭入侵事件源於一名員工裝置安裝了遭篡改的Nx Console Visual Studio Code外掛程式，此次事件導致3,800個內部代碼庫外洩，成為開發工具鏈已淪為供應鏈攻擊主要目標的最明確例證。

事件源頭來自Nx開發團隊遭到的另一次入侵。攻擊者取得該團隊一名工程師的系統存取權，並藉此散布遭植入惡意程式碼的nrwl.angular-console套件。該惡意版本偽裝成廣受歡迎的Nx Console外掛程式之正常更新，開發者通常使用此工具管理單一儲存庫工作區。

至少一名GitHub員工安裝了遭篡改的外掛程式，使攻擊者得以滲透GitHub內部代碼儲存庫。公司表示，入侵事件已控制在內部系統範圍內，客戶資料與生產服務均未外洩。GitHub已撤銷遭竊取的存取憑證，並著手審查內部存取管制機制。

此次入侵暴露了軟體組織在保護開發環境方面的結構性漏洞。IDE外掛程式安裝後即擁有較高的本機權限，並獲得使用者隱性信任。相對於生產基礎設施通常接受持續的安全審計，開發者工作站及其插件生態系統往往缺乏同等程度的監管。

開源維護者正因此成為關鍵的戰略節點。他們的基礎設施經常資源不足，但單一遭入侵的帳號或開發者機器，就能將惡意程式碼無聲無息地傳播至數千個下游企業環境。Nx事件證實這已不再是理論上的擔憂。

現行市場安全模式加劇了問題。VS Code外掛程式註冊中心與大多數套件平台一樣，主要依賴發布前的靜態分析與政策檢查。這些機制能捕捉已知特徵，但難以偵測休眠載荷、由工作流程觸發的惡意程式，或在初次審查後遭篡改的程式碼。快速撤銷機制與發布後的行為監控，仍是關鍵的安全缺口。

工程與安全領導者現在必須將開發者工作站及IDE外掛程式視為生產級別的關鍵基礎設施。組織應實施最低權限的外掛程式政策，要求第三方插件在安裝前進行加密驗證，並建立經審計的核准工具清單及定期審查機制。在可行情況下，開發環境應與敏感的內部網路隔離。

市場營運商面臨同等重要的任務：在不妨礙開發者工作流程的前提下，為外掛程式實施持續的執行階段監控。GitHub與微軟尚未針對此次事件宣布對VS Code市場的具體變更，但業界要求超越靜態、發布前審查的壓力只會持續增加。

開源社群仍面臨一個未解的結構性問題：如何以可持續的方式資助高影響力維護者的安全強化工作。在業界建立可行的資源配置模式之前，個別開發者及其依賴的企業，仍將暴露於入侵Nx並藉此滲透GitHub內部儲存庫的相同攻擊模式之下。

此次入侵暴露了軟件組織在保護開發環境方面的結構性漏洞。IDE外掛程式安裝後即擁有較高的本機權限，並獲得使用者隱性信任。相對於生產基礎設施通常接受持續的安全審計，開發者工作站及其插件生態系統往往缺乏同等程度的監管。

Hong Kong Linux User Group香港Linux用家協會 (HKLUG)