Nx Console拡張にマルウェア混入(CVE-2026-48027)— 開発者の認証情報を盗むサプライチェーン攻撃
人気のNxビルドシステム用IDE拡張「Nx Console」に悪意あるバージョンが公開され、難読化ペイロードを取得してディスク・メモリ上の認証情報(トークンや鍵)を収集。CISAは悪用確認済み(KEV)・ランサムウェアでの悪用ありとして掲載した(CVSS 9.8 Critical)。
脆弱性の基本情報
- CVE番号CVE-2026-48027
- CVSS基本値9.8 CRITICAL
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)Nx Nx Console
- CWECWE-506
- 悪用状況CISA KEV 掲載(実際の悪用を確認)/ランサムウェアでの悪用も確認
- 是正期限2026-06-10(米連邦民生機関・BOD 22-01)
要点
CVE-2026-48027は、Nx(モノレポ向けのビルド/タスク実行ツール)のIDE拡張「Nx Console」に、悪意あるコードが埋め込まれたバージョンが公開された事案だ。CISAのKEV(Known Exploited Vulnerabilities=悪用が確認された脆弱性)カタログに2026年5月27日付で追加され、CWE-506(埋め込み型の悪意あるコード)に分類されている。
攻撃の流れは、改ざんされた拡張をインストールすると、外部から難読化されたペイロードをダウンロードして実行し、ディスク上やメモリ上に存在する認証情報を片っ端から収集する、というもの。狙われるのはGitHubやnpmのアクセストークン、SSH秘密鍵、クラウド(AWS等)の資格情報など、開発者が日常的に扱う「鍵」だ。これらが盗まれると、攻撃者は正規の開発者になりすましてソースコードやCI/CD、本番環境にアクセスできてしまう。
この種の攻撃が危険なのは、(1)信頼している開発ツールの正規の配布経路(拡張マーケットプレイスやnpm)を悪用するため気づきにくいこと、(2)1人の開発者の端末が侵害されると、そこを足がかりに組織全体へ被害が広がりうること、にある。CISAはランサムウェアキャンペーンでの悪用も確認しており、優先度は高い。
【対応の要点】Nx Consoleを利用している場合は、ベンダー公式アドバイザリ(GitHub Security Advisory)を確認し、影響を受けるバージョンを特定して既知の安全なバージョンへ更新(または一旦アンインストール)する。そのうえで、当該端末で使っていた可能性のあるトークン・鍵・パスワードはすべて失効・再発行(ローテーション)し、CI/CDやクラウドのアクセスログに不審な使用がないかを確認することが推奨される。連邦民生機関には2026年6月10日までの是正が義務付けられている(民間にとっても実務上の目安になる)。
なぜ重要か
NxやモノレポをCI/CDで使う開発組織に広く影響しうる。拡張のバージョン確認に加え、漏えい前提での認証情報ローテーションとアクセスログ点検が実務上の要点。開発ツールのサプライチェーンを攻撃面として監視する契機にもなる。
よくある質問(FAQ)
Nx Consoleとは何ですか?
自分が影響を受けたか確認するには?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。