Ataque de cadena de suministro a Nx Console en VS Code: lo que deben saber los desarrolladores
El 18 de mayo de 2026 se publicó brevemente la versión maliciosa 18.95.0 de la extensión Nx Console en los marketplaces de VS Code, donde descargaba un malware para robar credenciales de desarrolladores [1][3]. El payload buscaba tokens y secretos de herramientas comunes como GitHub, AWS, Kubernetes, npm o claves SS...
What happened in the Nx Console VS Code extension supply chain attack on May 18, how did the compromised version 18.95.0 steal developer creA malicious release of the Nx Console extension briefly infiltrated VS Code marketplaces and attempted to harvest developer credentials.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: What happened in the Nx Console VS Code extension supply chain attack on May 18, how did the compromised version 18.95.0 steal developer cre. Article summary: On May 18, 2026, attackers briefly published a malicious Nx Console VS Code extension version, 18.95.0, that fetched a credential-stealing payload, exfiltrated developer and cloud secrets, and installed persistence artif. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Targeting 2 Million Developers: Malicious Nx Console Extension Hijacks VS Code Marketplace. Nx Console Extension Supply Chain Attack VS Code Marketplace Malware 2026. A brief but" source context "Targeting 2 Million Developers: Malicious Nx Console Extension ..." Reference image 2: visual subject "# Nx Console
openai.com
La popular extensión Nx Console para Visual Studio Code, utilizada por millones de desarrolladores, fue brevemente comprometida el 18 de mayo de 2026 cuando atacantes lograron publicar una versión maliciosa en los marketplaces oficiales. La versión afectada, 18.95.0, incluía código diseñado para robar credenciales y mantener acceso persistente a las máquinas de los desarrolladores.
Aunque la ventana de exposición fue corta, el incidente generó gran preocupación en la comunidad de seguridad porque las estaciones de trabajo de desarrollo suelen contener tokens de acceso a repositorios, servicios en la nube y sistemas de CI/CD. Incluso unos minutos de distribución pueden bastar para filtrar secretos críticos.
Qué ocurrió el 18 de mayo de 2026
Los atacantes lograron publicar una versión comprometida de la extensión nrwl.angular-console (Nx Console) en registros oficiales de extensiones.
Según el aviso de seguridad del equipo de Nx:
La versión 18.95.0 se publicó en Visual Studio Marketplace a las 12:30 UTC y se retiró 18 minutos después, a las 12:48 UTC.
La misma versión apareció en OpenVSX entre las 12:33 UTC y las 13:09 UTC, donde estuvo disponible aproximadamente 36 minutos.
Posteriormente los mantenedores publicaron la versión 18.100.0 como versión segura.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
¿Cuál es la respuesta corta a "Ataque de cadena de suministro a Nx Console en VS Code: lo que deben saber los desarrolladores"?
El 18 de mayo de 2026 se publicó brevemente la versión maliciosa 18.95.0 de la extensión Nx Console en los marketplaces de VS Code, donde descargaba un malware para robar credenciales de desarrolladores [1][3].
¿Cuáles son los puntos clave a validar primero?
El 18 de mayo de 2026 se publicó brevemente la versión maliciosa 18.95.0 de la extensión Nx Console en los marketplaces de VS Code, donde descargaba un malware para robar credenciales de desarrolladores [1][3]. El payload buscaba tokens y secretos de herramientas comunes como GitHub, AWS, Kubernetes, npm o claves SSH, y podía mantenerse activo mediante archivos persistentes en el sistema [1].
¿Qué debo hacer a continuación en la práctica?
El incidente es especialmente preocupante porque el ecosistema Nx ya había sufrido un gran ataque de cadena de suministro en 2025 que también robó credenciales de desarrolladores [9].
El equipo indicó que muy pocos usuarios fueron afectados, pero confirmó que el número no fue cero. Cualquier sistema que haya instalado o actualizado automáticamente durante ese intervalo debe tratarse como potencialmente comprometido.
Cómo funcionaba la extensión maliciosa
Después de instalarse, la extensión aparentemente funcionaba con normalidad. Sin embargo, al abrir un proyecto ejecutaba lógica oculta que descargaba y ejecutaba un payload ofuscado de aproximadamente 498 KB desde una ubicación oculta dentro de la infraestructura del repositorio oficial de Nx en GitHub.
Ese payload actuaba como un ladrón de credenciales en varias etapas, enfocado específicamente en entornos de desarrollo.
Credenciales y secretos que buscaba
El malware examinaba archivos locales y variables de entorno en busca de información de autenticación de alto valor, entre ellas:
Tokens de GitHub y secretos de GitHub Actions
Tokens de npm y credenciales de intercambio OIDC
Credenciales de AWS, datos de IAM y tokens de Secrets Manager
Configuraciones de Kubernetes y credenciales de clúster
Tokens de HashiCorp Vault
Claves privadas SSH
Credenciales de Docker
Credenciales de Google Cloud
Cadenas de conexión y claves de API
Datos del vault de 1Password CLI si había una sesión op activa
La información recolectada podía exfiltrarse mediante solicitudes HTTPS, llamadas a la API de GitHub o canales basados en DNS, lo que permitía a los atacantes sacar rápidamente las credenciales robadas del sistema.
Mecanismos de persistencia instalados
Además de robar credenciales, el malware intentaba mantener acceso a largo plazo en la máquina infectada.
El aviso de seguridad identificó varios artefactos de persistencia:
Procesos con la variable de entorno __DAEMONIZED=1
El comportamiento dependía del sistema operativo:
macOS: instalaba un LaunchAgent para reiniciarse automáticamente.
Linux: intentaba persistencia mediante cambios en configuraciones del sistema, incluyendo posibles modificaciones de sudoers.
Esto permitía que el atacante mantuviera acceso incluso si la extensión era eliminada posteriormente.
Por qué este ataque es importante
El incidente de 2026 no es un caso aislado dentro del ecosistema Nx.
En agosto de 2025, atacantes ya habían llevado a cabo un importante ataque de cadena de suministro en npm publicando versiones maliciosas del sistema de build nx y varios plugins asociados. Esos paquetes analizaban el sistema en busca de credenciales y las subían a repositorios de GitHub controlados por los atacantes.
El nuevo incidente refuerza dos tendencias claras en seguridad:
Las máquinas de desarrolladores son objetivos de alto valor, porque almacenan acceso a infraestructuras, repositorios y pipelines.
Los ataques de cadena de suministro se centran cada vez más en herramientas de desarrollo, como extensiones, sistemas de build y gestores de paquetes.
Según el equipo de Nx, la publicación maliciosa fue posible porque credenciales de GitHub de un desarrollador habían sido comprometidas en otro incidente reciente, lo que permitió a los atacantes saltarse las protecciones habituales de publicación.
Quién pudo verse afectado
Los usuarios potencialmente afectados son quienes instalaron o actualizaron a Nx Console 18.95.0 durante las ventanas de exposición:
Visual Studio Marketplace: 18 de mayo de 2026 — 12:30–12:48 UTC
OpenVSX Registry: 18 de mayo de 2026 — 12:33–13:09 UTC
Esto incluye usuarios de:
Visual Studio Code
editores compatibles o forks de VS Code
entornos que distribuyen extensiones mediante OpenVSX
Si la versión comprometida se instaló durante ese periodo, se recomienda asumir que las credenciales presentes en esa máquina pudieron quedar expuestas.
Indicadores de compromiso (IOC)
Conviene revisar inmediatamente si aparecen estos indicios en el sistema:
Tener instalada la versión Nx Console 18.95.0 durante la ventana de exposición
Rotar todas las credenciales accesibles desde esa máquina, por ejemplo:
tokens de GitHub
credenciales de proveedores cloud
claves API
claves SSH
tokens de CI/CD
Revisar logs de auditoría en GitHub, servicios cloud y sistemas CI para detectar actividad sospechosa.
Si se confirma el compromiso, la medida más segura suele ser reinstalar o reconstruir completamente la estación de trabajo desde un entorno limpio y restaurar credenciales desde copias seguras.
La lección para la seguridad del desarrollo
Este incidente ilustra una realidad cada vez más clara: la cadena de suministro del software también incluye las herramientas de desarrollo. Extensiones, sistemas de build y gestores de paquetes tienen acceso directo a código, secretos y credenciales de infraestructura.
Por eso, incluso ventanas de exposición de solo unos minutos pueden permitir a los atacantes capturar información crítica.
Para las organizaciones, la conclusión es clara: vigilar actualizaciones de extensiones, aplicar políticas estrictas de rotación de credenciales y considerar las estaciones de trabajo de desarrolladores como infraestructura crítica dentro del modelo de seguridad.
Comments
0 comments