2026西湖龙井茶官网DTC发售：茶农直供，政府溯源防伪到农户家 

攻击者接管了拥有约 220 万安装量的 Nx 控制台发布者的令牌。他们将一个恶意的 JavaScript 文件推送至 VS Code 应用市场。该文件在上线 18 分钟后才被下架。由于自动更新机制的存在，这段时间足以让恶意文件感染开发人员的机器，并窃取 .env 文件及其他凭证。大多数端点检测与响应工具未能检测到此次攻击，因为它是纯 JavaScript 代码，而非编译后的二进制文件。

此次攻击成功主要归因于以下三点：

扩展程序的自动更新默认开启。团队通常将其视为一种便利功能，而不会审查推送的内容。
人们信任“已验证”徽章和高安装量数据。但这些指标并不意味着代码是安全的。
开发人员在本地机器上长期存储敏感信息。一旦扩展程序运行，它便有了可窃取的文件。
如果你在银行、金融科技或任何笔记本电脑受损会带来实际风险的环境中工作，你应该改变处理扩展程序的方式：

关闭扩展程序的自动更新功能。制定一项策略，在拉取新版本前至少等待 48 小时。这为发现并撤销恶意更新提供了时间窗口。
仅允许安装来自批准列表的扩展程序。通过组策略或移动设备管理锁定此设置，防止开发人员安装列表之外的扩展程序。
停止在磁盘上的 .env 文件中存储敏感信息。使用如 1Password 命令行界面、Doppler 或 Vault 等工具，在需要时获取敏感信息，并在使用后从内存中清除。
更新你的监控策略。关注行为异常，而不仅仅是恶意软件特征码。对诸如单台机器克隆其通常不接触的代码仓库，或发起大量异常应用程序接口调用等行为发出警报。
攻击者之所以 targeting 开发人员机器，是因为网络边界防护已经相当严密。如果你的构建工具被攻破，那么你发布的代码也就被攻破了。

大多数团队已经会对他们编写的代码进行扫描。但很少有团队会严格管控他们用于编写代码的工具。

开发安全运维 #供应链安全 #应用安全 #工程