NX “S1Ngugues” Tedarik Zinciri saldırısı ile ilgili soruşturmalar, binlerce hesap jetonu ve depo sırları sızdırılmış büyük bir serpinti ortaya koydu.
WIZ araştırmacıları tarafından yapılan bir sonuç sonrası değerlendirmesine göre, NX uzlaşması üç ayrı aşamada 2.180 hesap ve 7.200 depoun maruz kalmasıyla sonuçlandı.
Wiz ayrıca, sızdırılan sırların birçoğu geçerli kaldığından, olayın etki kapsamının önemli kaldığını ve bu nedenle etki hala ortaya çıktığını vurguladı.
NX “S1Gularity” tedarik zinciri saldırısı
NX, NPM Paket Dizininde haftalık 5,5 milyondan fazla indirime sahip olan kurumsal ölçekli JavaScript/TypePript ekosistemlerinde yaygın olarak kullanılan popüler bir açık kaynak yapı sistemi ve Monorepo yönetim aracıdır.
26 Ağustos 2025’te saldırganlar, NPM’de Paketin kötü niyetli bir sürümünü yayınlamak için NX deposundaki kusurlu bir GitHub Eylemleri iş akışını kullandı ve bu da bir kötü amaçlı yazılım komut dosyası (‘telemetry.js’) içeren.
Telemetry.js kötü amaçlı yazılım, Github jetonlarını, NPM jetonlarını, SSH anahtarlarını, .env dosyalarını, kripto cüzdanlarını çalmaya çalışan Linux ve MacOS sistemlerini hedefleyen bir kimlik bilimidir.
Bu saldırıyı öne çıkaran şey, LLM istemlerini kullanarak hassas kimlik bilgilerini ve sırları aramak ve toplamak için Claude, Q ve Gemini gibi yapay zeka platformları için yüklü komut satırı araçlarını kullanan kimlik bilgisi sığınağının.
Kaynak: Wiz
Wiz, istemin saldırının her yinelemesinde değiştiğini ve tehdit oyuncusunun daha iyi başarı istemini ayarladığını gösterdiğini bildirdi.
“Sorunun evrimi, saldırganın saldırı boyunca hızlı bir şekilde istemi tınlamayı keşfettiğini gösteriyor. Rolü BırakmaWiz, teknikler üzerinde değişen özgüllük seviyelerinin yanı sıra, “diye açıkladı Wiz.
Diyerek şöyle devam etti: “Bu değişikliklerin kötü amaçlı yazılımların başarısı üzerinde somut bir etkisi oldu. Örneğin,“ penetrasyon testi ”ifadesinin tanıtılması, LLM’nin bu tür bir faaliyette bulunmayı reddetmesine somut olarak yansıtıldı.”
Büyük bir patlama yarıçapı
Saldırının ilk aşamasında, 26 ve 27 Ağustos arasında, geri yüklenen NX paketleri 1.700 kullanıcıyı doğrudan etkiledi ve 2.000’den fazla benzersiz sır sızdırdı. Saldırı ayrıca enfekte sistemlerden 20.000 dosya açığa çıkardı.
Github, saldırganın sekiz saat sonra oluşturduğu depoları düşürerek yanıt verdi, ancak veriler zaten kopyalanmıştı.
Wiz’in olayın 2. aşaması olarak tanımladığı 28 ve 29 Ağustos arasında, saldırganlar özel depoları halka çevirmek için sızdırılmış Github jetonlarını kullandılar ve bunları ‘S1NGularity’ ipini dahil etmek için yeniden adlandırdılar.
Bu, çoğunluğu kuruluş olan başka bir 480 hesabın daha da uzlaşmasına ve 6.700 özel deposun kamuya maruz kalmasıyla sonuçlandı.
31 Ağustos’ta başlayan üçüncü aşamada, saldırganlar tek bir kurban organizasyonunu hedef aldı ve 500 özel depo daha fazla yayınlamak için iki uzlaşmacı hesap kullandı.
Kaynak: Wiz
NX’in yanıtı
NX ekibi, GitHub’da uzlaşmanın Pull_Request_Target’in güvensiz kullanımı ile birlikte bir çekme isteği başlığı enjeksiyonundan geldiğini açıklayan ayrıntılı bir kök neden analizi yayınladı.
Bu, saldırganların yükseltilmiş izinlerle keyfi kod çalıştırmasına izin verdi, bu da NX’in yayın hattını tetikledi ve NPM yayınlama belirtecini açığa çıkardı.
Kötü amaçlı paketler kaldırıldı, tehlikeye atılan jetonlar iptal edildi ve döndürüldü ve tüm yayıncı hesaplarında iki faktörlü kimlik doğrulama benimsenmiştir.
Böyle bir uzlaşmanın tekrarlanmasını önlemek için NX projesi, NPM’nin belirteç tabanlı yayıncılığı ortadan kaldıran ve PR tetiklenen iş akışları için manuel onay ekleyen güvenilir yayıncı modelini benimsedi.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.