Nx Console (extension VS Code)

Point de compromission dans la chaîne Rupture · étape Distribution

Source

amont

Dépendances

deps

Build & CI

ci

Packaging

artefact

Release

provenance

Registres

Distribution

Déploiement

admission

Runtime

exécution

Rayon d'explosion — compromission à l'étape Distribution, propagation possible aux consommateurs. Domaines : Poste de travail, Intégration, Release, Fournisseurs

Gravité critique

Extension VS Code populaire compromise, distribuant du code malveillant aux développeurs via la marketplace.

v18.95.0

version piégée

2,2 M

installations

3 800

dépôts GitHub exfiltrés

~11 min

en ligne avant retrait

En bref

Date

02/06/2026

Gravité

Critique

Étape de la chaîne

Distribution

Domaines SOCLE

Poste de travail+ Intégration, Release, Fournisseurs

Que s'est-il passé ?

Contexte

Le 18 mai 2026, une version compromise de l'extension VS Code Nx Console (nrwl.angular-console v18.95.0, 2,2 M d'installations) est publiée sur le Marketplace. Conséquence majeure : ~3 800 dépôts internes de GitHub exfiltrés après compromission d'un poste employé.

Mécanisme

Dès l'ouverture d'un workspace, l'extension récupère et exécute une charge obfusquée (498 Ko) depuis un commit orphelin caché dans le dépôt officiel nrwl/nx. L'accès initial provient d'un jeton de contributeur volé.

Impact

Voleur multi-cible (GitHub, npm, AWS, Vault, Kubernetes, 1Password) exfiltrant sur trois canaux (HTTPS, API GitHub, tunnel DNS) ; backdoor Python persistante sur macOS. Le payload intègre même Sigstore (Fulcio, provenance SLSA). Restée en ligne ~11 minutes.

Parades

Allowlist et revue des extensions d'éditeur, vérification de l'éditeur et device trust, jetons de contributeur courts et scopés, surveillance des commits orphelins, et filtrage DNS/egress des postes.

Chronologie de l'attaque

18 mai 2026

Publication piégée

Nx Console v18.95.0 est publiée sur le VS Code Marketplace ; elle s'exécute dès l'ouverture d'un workspace et reste en ligne environ 11 minutes.

19 mai 2026

Divulgation de l'ampleur

GitHub révèle l'exfiltration d'environ 3 800 dépôts internes après compromission d'un poste par l'extension.

Comment l'attaquant a procédé

Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :

V-WKS-1 Extension d'IDE malveillante V-DIST-1 Canal de distribution compromis

La leçon à en tirer

Ce qu'il faut retenir

Allowlist et revue des extensions IDE ; vérification de l'éditeur ; device trust.

Les exigences SOCLE qui auraient limité cet incident

Cet incident se rattache à 12 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :

Fournisseurs SOCLE-FRN-CTR-3SOCLE-FRN-DLV-1SOCLE-FRN-DLV-3SOCLE-FRN-GEN-3SOCLE-FRN-GEN-4SOCLE-FRN-SUP-2

Intégration SOCLE-INT-GEN-7

Release SOCLE-REL-GEN-3

Poste de travail SOCLE-WKS-DEV-4SOCLE-WKS-DEV-7SOCLE-WKS-DEV-8SOCLE-WKS-GEN-6

Pour aller plus loin

Source d'origineLe compte rendu détaillé de l'incident Vecteurs : DistributionLes attaques de cette étape de la chaîne Tous les incidentsLe catalogue filtrable

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →