W dniu 19 maja 2026 r. opublikowano złośliwą wersję rozszerzenia Nx Console (18.95.0) w Visual Studio Marketplace oraz OpenVSX, zawierającą wbudowany szkodliwy kod. Podatność jest aktywnie exploitowana i sklasyfikowana jako krytyczna z wynikiem CVSS 9.3.
▸ Pokaż oryginał (EN)
Nx Console is the user interface for Nx & Lerna. On 19 May 2026, a malicious version of Nx Console, 18.95.0, was published at 12:30 PM UTC and removed soon after at 12:48 PM UTC, leaving it available for ~18 minutes in Visual Studio Marketplace. For OpenVSX, the problem was detected later, and the compromised version was available from 12:33 UTC to 13:09 UTC (~36 minutes). Version 18.100.0 of Nx Console is not compromised and users may remediate by upgrading to that version.
Atakujący opublikował skompromitowaną wersję 18.95.0 rozszerzenia Nx Console w Visual Studio Marketplace (dostępną od 12:30 do 12:48 UTC, przez ~18 minut) oraz w rejestrze OpenVSX (dostępną od 12:33 do 13:09 UTC, przez ~36 minut). Wersja ta zawierała wbudowany złośliwy kod (CWE-506 — Embedded Malicious Code), który był wykonywany na stacji roboczej użytkownika po zainstalowaniu lub aktualizacji rozszerzenia. Użytkownicy, którzy pobrali tę wersję w oknie czasowym jej dostępności, są potencjalnie narażeni na kompromitację środowiska deweloperskiego.
Atakujący mógł uzyskać pełną kontrolę nad poufnością, integralnością i dostępnością zasobów lokalnych użytkownika (VC:H, VI:H, VA:H), co może obejmować kradzież danych, wykonanie dowolnego kodu oraz dalsze działania w skompromitowanym środowisku.
Należy natychmiast zaktualizować rozszerzenie Nx Console do wersji 18.100.0 lub nowszej, która według producenta nie jest skompromitowana. Użytkownicy powinni również przejrzeć wskaźniki kompromitacji (IoC) opublikowane przez producenta pod adresem nx.dev/blog/nx-console-v18-95-0-postmortem. Zaleca się audyt środowisk deweloperskich, na których zainstalowano wersję 18.95.0.
Użytkownicy, którzy zainstalowali Nx Console w wersji 18.95.0 z Visual Studio Marketplace w oknie 12:30–12:48 UTC lub z OpenVSX w oknie 12:33–13:09 UTC w dniu 19 maja 2026 r.
Incydent miał miejsce 19 maja 2026 r. Złośliwa wersja 18.95.0 była dostępna przez ~18 minut w Visual Studio Marketplace oraz ~36 minut w OpenVSX. Producent opublikował postmortem oraz wskaźniki kompromitacji. Podatność potwierdzona w katalogu CISA KEV.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XNx Console
APPNx18.95.0
CISA KEV — szczegółyi
- Dostawcai
- Nx
- Produkti
- Nx Console
- Data dodania do KEVi
- 27 maja 2026
- Termin remediation (USA)i
- 10 czerwca 2026(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Nx Console zawiera podatność związaną z osadzonym złośliwym kodem, która pozwoliła opublikować złośliwą wersję Nx Console. Skompromitowane rozszerzenie pobierało zaciemniony payload, który mógł wydobywać dane uwierzytelniające z wielu źródeł na dysku i w pamięci.
▸ Pokaż oryginał (EN)
Nx Console contains an embedded malicious code vulnerability that allowed a malicious version of Nx Console to be published. The compromised extension fetched an obfuscated payload that could harvested credentials from multiple sources on disk and in memory.
Powiązane podatności
The (1) menu.inc.php, (2) datasets.php and (3) mass_operations.inc.php (mistakenly referred to as mass_opeatio...
PHP remote file inclusion vulnerability in lib/pcltar.lib.php (aka pcltar.php) in the PclTar module 1.3 and 1....
PHP remote file inclusion vulnerability in wwwdev/nxheader.inc.php in N/X 2002 Professional Edition Web Conten...