🔥 この記事の詳細
2026-05-21 更新
B
今週中

GitHubの内部リポジトリが、悪意のあるVS Code拡張機能「Nx Console」を通じて侵害されたこと

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
🖥️ 製品GitHub
📅 2026-05-21📰 hackernews
📌 一言でいうと
GitHubの内部リポジトリが、悪意のあるVS Code拡張機能「Nx Console」を通じて侵害されたことが判明しました。この攻撃は、Nxの開発者のシステムが「TanStack」サプライチェーン攻撃の影響を受けて侵害されたことに起因しています。GitHubは、顧客のエンタープライズリポジトリへの影響はないとしていますが、内部リポジトリに含まれる一部の顧客サポート情報などが流出した可能性があるとしています。
🔍該当判定
  • 開発者が VS Code (Visual Studio Code) を利用している
  • VS Code の拡張機能で『Nx Console』(ID: nrwl.angular-console) をインストールしている
  • 社内で Nx (Nx Console) を利用した Angular や React などの開発を行っている
上記いずれにも該当しない → 静観でOK
該当時の対応
1. VS Code拡張機能の導入元とバージョンを再確認し、不審な更新がないか検証すること。2. 開発環境における特権アクセスの最小化と、多要素認証の徹底。3. サプライチェーン攻撃の傾向を把握し、信頼できるソースからのツールのみを利用すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】VS Code拡張機能「Nx Console」を介したサプライチェーン攻撃について

お疲れさまです。GitHubの内部リポジトリ侵害に関する情報共有です。

■ 概要
VS Code拡張機能「Nx Console (nrwl.angular-console)」がサプライチェーン攻撃を受け、これをインストールしていたGitHub社員の端末が侵害され、結果としてGitHubの内部リポジトリにアクセスされた事例が報告されました。本件は、さらに上流の「TanStack」サプライチェーン攻撃に起因しています。

■ 影響範囲
- 対象製品: Nx Console (VS Code Extension)
- 影響を受けた組織: GitHub, OpenAI, Mistral AI, Grafana Labs 等

■ 対応手順
1. 社内で利用されているVS Code拡張機能のリストを確認し、Nx Consoleの利用状況を把握してください。
2. 開発者に対し、不審なプラグインのインストールを避け、公式の信頼できるソースからのみ更新を行うよう周知してください。
3. 開発端末からの内部リポジトリへのアクセス権限が適切に制限されているか(最小権限の原則)を再確認してください。

■ 参考情報
- GitHub公式ステートメント

対応優先度: 中
対応期限: 今週中
Subject: [Security Alert] Supply Chain Attack via Nx Console VS Code Extension

Dear IT/Security Team,

We are sharing information regarding a breach of GitHub's internal repositories.

■ Overview
GitHub has confirmed that a poisoned version of the "Nx Console" (nrwl.angular-console) VS Code extension led to the compromise of an employee device and subsequent access to internal repositories. This incident is linked to a broader supply chain attack targeting TanStack, which also affected organizations like OpenAI and Mistral AI.

■ Scope
- Affected Product: Nx Console (VS Code Extension)
- Impacted Organizations: GitHub, OpenAI, Mistral AI, Grafana Labs, etc.

■ Recommended Actions
1. Audit the use of the Nx Console extension within your development environments.
2. Advise developers to verify the provenance of their IDE extensions and avoid installing unverified plugins.
3. Review and enforce the principle of least privilege for developer access to internal repositories and sensitive data.

■ Reference
- GitHub Official Statement

Priority: Medium
Deadline: End of this week
📰 関連する 1 件の記事
hackernewsGitHubの内部リポジトリが侵害され、約3,800件のリポジトリが流出したこと
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-21 のまとめ🔍 記事を検索