今天,超过 1,400 名开发人员发现,流行的 NX 构建工具包中的恶意安装后脚本在他们的 GitHub 帐户中悄悄地创建了一个名为 s1ngularity-repository 的存储库。
该存储库包含一个 base64 编码的转储,其中包含直接从开发人员的文件系统收集的敏感数据钱包文件、API 密钥、.npmrc 凭据、环境变量等。
Key Takeaways 1. Malware in the NX build tool steals credentials and creates GitHub repos. 2. Targets Claude and Gemini CLIs for advanced data exfiltration. 3. Delete suspicious repos, update NX, and rotate secrets urgently.
人工智能辅助数据泄露
Semgrep 报告称,攻击者通过名为 telemetry.js 的文件利用 NX 安装后钩子在软件包安装后立即执行恶意代码。
恶意软件首先收集环境变量,并尝试通过 GitHub CLI 查找 GitHub 身份验证令牌。有了凭据,它就会创建一个公共存储库,例如 s1ngularity-repository-0,并将被盗数据提交到 results.b64 中。
这个活动特别新颖的是它与 Claude Code CLI 或 Gemini CLI 的集成。如果存在任一人工智能驱动的 CLI,恶意软件会发出精心设计的提示来进行可指纹文件系统扫描:
这种人工智能驱动的方法将大量基于签名的文件系统枚举卸载给法学硕士,使传统的恶意软件检测变得复杂。
受影响的 NX 版本和缓解措施
- @nx/devkit 21.5.0、20.9.0
- @nx/企业云 3.2.0
- @nx/eslint 21.5.0
- @nx/密钥 3.2.0
- @nx/节点 21.5.0、20.9.0
- @nx/workspace 21.5.0、20.9.0
- @nx 20.9.0–20.12.0、21.5.0–21.8.0
使用任何受影响版本的开发人员应立即运行:
npm ls nx
或检查锁文件是否存在易受攻击的依赖项。
- 搜索未经授权的存储库。
- 删除您找到的任何 s1ngularity-repository*。
- 将 NX 更新到安全版本 21.4.1(从 npm 中删除易受攻击的版本)。
- 轮换所有公开的机密:GitHub 令牌、npm 凭据、SSH 密钥、环境变量。
- 删除 shell 启动文件(例如 .bashrc)中的恶意关机指令。
随着事件的展开,我们敦促组织监控存储库的创建并实施严格的安装后审核。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
