Serangan Supply Chain pada Ekstensi Nx Console VS Code (18 Mei 2026)
Pada 18 Mei 2026, versi berbahaya ekstensi Nx Console VS Code (18.95.0) sempat dipublikasikan di marketplace resmi dan mencuri kredensial developer sebelum ditarik dalam waktu singkat. Malware di dalam ekstensi mengunduh payload tersembunyi yang mengumpulkan token dan rahasia dari GitHub, AWS, Kubernetes, npm, SSH,...
What happened in the Nx Console VS Code extension supply chain attack on May 18, how did the compromised version 18.95.0 steal developer creA malicious release of the Nx Console extension briefly infiltrated VS Code marketplaces and attempted to harvest developer credentials.
AI Perintah
Create a landscape editorial hero image for this Studio Global article: What happened in the Nx Console VS Code extension supply chain attack on May 18, how did the compromised version 18.95.0 steal developer cre. Article summary: On May 18, 2026, attackers briefly published a malicious Nx Console VS Code extension version, 18.95.0, that fetched a credential-stealing payload, exfiltrated developer and cloud secrets, and installed persistence artif. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Targeting 2 Million Developers: Malicious Nx Console Extension Hijacks VS Code Marketplace. Nx Console Extension Supply Chain Attack VS Code Marketplace Malware 2026. A brief but" source context "Targeting 2 Million Developers: Malicious Nx Console Extension ..." Reference image 2: visual subject "# Nx Console
openai.com
Ekstensi Nx Console untuk Visual Studio Code, sebuah alat populer bagi developer yang menggunakan sistem build Nx, sempat berubah menjadi alat pencuri kredensial akibat serangan software supply chain pada 18 Mei 2026.
Versi yang terkompromi, 18.95.0, sempat tersedia di marketplace resmi sebelum akhirnya dihapus. Selama periode singkat tersebut, ekstensi ini dapat mengunduh malware tambahan, mengumpulkan kredensial dari mesin developer, dan mencoba mempertahankan akses permanen ke sistem.
Walau waktu paparan hanya beberapa menit, ekstensi ini memiliki lebih dari 2,2 juta instalasi, sehingga insiden tersebut langsung menjadi perhatian komunitas keamanan developer.
Kronologi Serangan 18 Mei 2026
Penyerang berhasil mempublikasikan build berbahaya dari ekstensi nrwl.angular-console (Nx Console) ke registry ekstensi resmi.
Menurut advisory keamanan dari tim Nx:
Versi 18.95.0 dipublikasikan di Visual Studio Marketplace pukul 12:30 UTC dan dihapus 12:48 UTC (sekitar 18 menit).
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Apa jawaban singkat untuk "Serangan Supply Chain pada Ekstensi Nx Console VS Code (18 Mei 2026)"?
Pada 18 Mei 2026, versi berbahaya ekstensi Nx Console VS Code (18.95.0) sempat dipublikasikan di marketplace resmi dan mencuri kredensial developer sebelum ditarik dalam waktu singkat.
Apa poin penting yang harus divalidasi terlebih dahulu?
Pada 18 Mei 2026, versi berbahaya ekstensi Nx Console VS Code (18.95.0) sempat dipublikasikan di marketplace resmi dan mencuri kredensial developer sebelum ditarik dalam waktu singkat. Malware di dalam ekstensi mengunduh payload tersembunyi yang mengumpulkan token dan rahasia dari GitHub, AWS, Kubernetes, npm, SSH, dan layanan cloud lain.
Apa yang harus saya lakukan selanjutnya dalam latihan?
Serangan ini menambah daftar insiden pada ekosistem Nx setelah serangan supply chain npm pada 2025 yang juga mencuri kredensial developer.
Versi yang sama tersedia di OpenVSX registry dari 12:33 hingga 13:09 UTC (sekitar 36 menit).
Setelah insiden diketahui, maintainer merilis versi aman 18.100.0.
Tim Nx menyatakan bahwa “sangat sedikit pengguna yang terkompromi”, tetapi jumlahnya tidak nol. Sistem yang sempat menginstal atau auto‑update ke versi tersebut sebaiknya dianggap berpotensi terinfeksi.
Cara Ekstensi Berbahaya Mencuri Kredensial
Setelah terinstal, ekstensi masih terlihat bekerja normal. Namun ketika developer membuka workspace, kode tersembunyi akan dijalankan.
Peneliti keamanan menemukan bahwa ekstensi ini mengunduh payload obfuscated berukuran sekitar 498 KB dari lokasi tersembunyi di infrastruktur repositori GitHub Nx.
Payload ini merupakan malware multi‑tahap yang dirancang khusus untuk lingkungan mesin developer, tempat banyak kredensial penting biasanya tersimpan.
Jenis Kredensial yang Diburu
Malware tersebut mencari berbagai file lokal dan variabel lingkungan yang berisi kredensial bernilai tinggi, seperti:
Token GitHub dan rahasia GitHub Actions
Token npm dan kredensial OIDC
Kredensial AWS dan IAM
Konfigurasi serta kredensial cluster Kubernetes
Token HashiCorp Vault
SSH private keys
Kredensial Docker
Kredensial Google Cloud
API key dan connection string
Data vault dari 1Password CLI jika sesi op sedang aktif
Data yang dikumpulkan kemudian dapat dikirim keluar melalui HTTPS, GitHub API, atau kanal berbasis DNS, memungkinkan penyerang mengekfiltrasi kredensial dengan cepat.
Mekanisme Persistence yang Dipasang Malware
Selain mencuri kredensial, malware juga mencoba mempertahankan akses jangka panjang ke mesin yang terinfeksi.
Beberapa indikator yang ditemukan dalam advisory keamanan Nx antara lain pembuatan file berikut:
Metode persistence berbeda tergantung sistem operasi:
macOS: memasang LaunchAgent agar malware otomatis berjalan saat sistem aktif.
Linux: mencoba melakukan perubahan konfigurasi sistem seperti injeksi ke sudoers.
Dengan mekanisme ini, penyerang dapat tetap mempertahankan akses bahkan setelah ekstensi dihapus.
Mengapa Insiden Ini Penting
Serangan ini bukan kejadian pertama yang menargetkan ekosistem Nx.
Pada Agustus 2025, penyerang juga melakukan serangan supply chain terhadap paket npm Nx, dengan mempublikasikan versi berbahaya yang memindai sistem lokal untuk mencari kredensial lalu mengunggahnya ke repositori GitHub yang dikendalikan penyerang.
Insiden 2026 ini menunjukkan dua tren keamanan penting:
Mesin developer menjadi target bernilai tinggi, karena sering menyimpan token cloud, akses repository, dan kredensial CI/CD.
Alat developer sendiri menjadi vektor serangan, termasuk ekstensi editor, build tools, dan registry paket.
Dalam kasus ini, tim Nx melaporkan bahwa ekstensi berbahaya kemungkinan dipublikasikan menggunakan kredensial GitHub milik developer yang sebelumnya sudah terkompromi, sehingga penyerang bisa melewati mekanisme keamanan proses publikasi.
Siapa yang Berpotensi Terdampak
Developer berisiko jika mereka menginstal atau auto‑update Nx Console versi 18.95.0 pada waktu berikut:
Visual Studio Marketplace: 18 Mei 2026, 12:30–12:48 UTC
OpenVSX Registry: 18 Mei 2026, 12:33–13:09 UTC
Lingkungan yang mungkin terdampak meliputi:
Visual Studio Code
editor berbasis VS Code atau fork-nya
editor yang menggunakan OpenVSX untuk distribusi ekstensi
Jika ekstensi tersebut terpasang pada periode itu, kredensial pada workstation sebaiknya dianggap berpotensi bocor.
Indicators of Compromise (IOC)
Developer sebaiknya memeriksa sistem mereka untuk tanda‑tanda berikut:
Rotasi semua kredensial yang mungkin pernah diakses dari mesin tersebut, termasuk:
token GitHub
kredensial cloud
API key
SSH key
token CI/CD
Periksa audit log di GitHub, penyedia cloud, dan sistem CI untuk aktivitas mencurigakan.
Jika kompromi terkonfirmasi, langkah paling aman biasanya adalah membangun ulang workstation dari lingkungan bersih dan memulihkan kredensial dari backup yang aman.
Pelajaran Keamanan bagi Tim Developer
Insiden ini menunjukkan bahwa rantai pasokan perangkat lunak kini mencakup alat developer itu sendiri. Ekstensi editor, build system, dan dependency manager memiliki akses luas ke kode sumber dan kredensial infrastruktur.
Akibatnya, bahkan paparan singkat—hanya beberapa menit—dapat cukup bagi penyerang untuk mencuri rahasia penting dari lingkungan developer.
Bagi organisasi, implikasinya jelas: monitor pembaruan ekstensi, batasi akses kredensial di workstation developer, dan anggap mesin developer sebagai bagian kritis dari infrastruktur keamanan.
Comments
0 comments