Два миллиона установок и один хитрый вирус. Популярный плагин для VSCode оказался шпионской ловушкой
Индустрия расплачивается за невнимательность создателей Nx Console.
Популярное расширение Nx Console для Visual Studio Code оказалось заражено вредоносным кодом. Под удар попала версия 18.95.0, которую успели опубликовать в магазине расширений Microsoft. У расширения более 2,2 млн установок, поэтому инцидент быстро привлек внимание разработчиков и специалистов по безопасности.
Проблема затронула расширение rwl.angular-console. Версия для Open VSX, по данным команды Nx, не пострадала. Вредоносная версия работала скрытно: как только разработчик открывал любую рабочую папку в Visual Studio Code, расширение загружало и запускало запутанный вредоносный файл размером 498 КБ. Файл прятался в неподписанном «осиротевшем» коммите внутри официального репозитория nrwl/nx на GitHub.
Специалисты StepSecurity описали вредоносный код как многоэтапный инструмент для кражи учетных данных и атаки на цепочку поставок. Программа собирала секреты разработчиков и отправляла их злоумышленникам через HTTPS, прикладной интерфейс GitHub и DNS-туннелирование. На компьютерах с macOS вредоносный код также устанавливал бэкдор на Python, который использовал поиск GitHub для получения дальнейших команд.
Команда Nx сообщила, что причиной стала компрометация компьютера одного из разработчиков. В ходе предыдущего инцидента у него утекли учетные данные GitHub. Злоумышленники использовали доступ, чтобы добавить в репозиторий nrwl/nx скрытый неподписанный коммит с вредоносным кодом. После этого зараженная версия расширения попала в магазин Visual Studio Code.
После запуска вредоносный код устанавливал среду выполнения JavaScript Bun и запускал запутанный файл index.js. Программа проверяла систему и избегала заражения компьютеров, которые могли находиться в часовых поясах стран СНГ. Затем вредоносный процесс уходил в фон и начинал искать секреты в хранилищах 1Password, настройках Anthropic Claude Code, а также учетные данные npm, GitHub и Amazon Web Services.
Отдельную опасность представляла поддержка Sigstore. По данным StepSecurity, злоумышленники могли использовать украденные токены npm OIDC, чтобы публиковать вредоносные пакеты npm с корректными криптографическими подтверждениями происхождения. Такие пакеты могли выглядеть как легитимные проверенные сборки.
Команда Nx признала, что несколько пользователей пострадали из-за инцидента. Разработчикам рекомендуют обновить Nx Console до версии 18.100.0 или новее. Риск касается тех, у кого версия 18.95.0 была установлена 18 мая 2026 года с 14:36 до 14:47 по центральноевропейскому летнему времени.
Пользователям советуют проверить систему на наличие файлов ~/.local/share/kitty/cat.py, ~/Library/LaunchAgents/com.user.kitty-monitor.plist, /var/tmp/.gh_update_state и /tmp/kitty-*. Также стоит проверить запущенные процессы: подозрительными считаются Python-процесс с cat.py и процесс с переменной окружения __DAEMONIZED=1. При обнаружении признаков заражения нужно завершить такие процессы, удалить вредоносные файлы и заменить все учетные данные, к которым мог получить доступ зараженный компьютер, включая токены, секреты и SSH-ключи.
