20.9.0-21.8.0 NX sürümlerinde “S1NGularity” adlı bir tedarik zinciri saldırısı binlerce geliştirici kimlik bilgilerini çaldı. Gitguardian’ın analizine göre saldırı macOS ve AI araçlarını hedef aldı.
“S1ngugues” saldırısı olarak adlandırılan sofistike bir siber saldırı, yazılım geliştiricileri tarafından yaygın olarak kullanılan popüler bir yapı platformu olan NX’i tehlikeye attı. 26 Ağustos 2025’te başlayan saldırı, bir tedarik zinciri saldırısıdır, bilgisayar korsanlarının kötü niyetli kodları yaygın olarak kullanılan bir yazılım parçasına gizledikleri bir tür güvenlik ihlalidir, bu da onu kullanan tüm insanlara bulaşır.
Saldırı, GitHub jetonları, NPM kimlik doğrulama anahtarları ve SSH özel anahtarları dahil olmak üzere çok çeşitli hassas verileri çalmak için tasarlanmıştır. Bu kimlik bilgileri esasen bir kullanıcının hesaplarına ve sistemlerine erişim sağlayan dijital anahtarlardır.
Kötü niyetli yazılımlar ayrıca Gemini, Claude ve Q gibi popüler AI araçları için API anahtarlarını hedefleyen ve gelişmekte olan teknolojilere yeni bir odaklanma gösteren API anahtarlarını hedef aldı. Saldırganlar, verileri çalmaya ek olarak, kullanıcıların terminal başlangıç dosyalarını değiştiren ve terminal oturumlarının çökmesine neden olan yıkıcı bir yük yüklediler.
Gitguardian’ın hackread.com ile paylaşılan analizi, saldırı ve kurbanları hakkında şaşırtıcı ayrıntılar ortaya koydu. Firma, enfekte sistemlerin% 85’inin macOS çalıştırdığını ve saldırının sıklıkla Apple bilgisayarlarını kullanan geliştirici topluluğu üzerindeki özel etkisini vurguladığını buldu.
Meraklı bir dönüşte, Gitguardian, AI araçlarının hedeflendiği yüzlerce sistemin, AI müşterilerinin birçoğunun beklenmedik bir şekilde kötü niyetli isteklere direndiğini buldu. Ya komutları çalıştırmayı reddettiler ya da, yanlış bir şey yapmaları istendiğini bildiklerini, potansiyel olmasına rağmen yeni bir güvenlik katmanı gösterdiklerini gösteren yanıtlar verdiler.
Çalıntı kimlik bilgileri sadece değerli değil, aynı zamanda yaygındı. Gitguardian’ın kamu Github etkinliğini izleyen izleme platformu, saldırganlar tarafından çalınan verileri depolamak için kullanılan 1.346 depo keşfetti.
Tespitten kaçınmak için, saldırganlar çalınan verileri yüklemeden önce çift kodladı. Github geri kalanını silmek için hızla çalıştığı için bu sayı kamuya açık on depodan çok daha yüksektir. Bu depoların analizi, 1.000’den fazla hala geçerli ve rapor sırasında çalışan 2.349 farklı sır ortaya çıkardı. En yaygın sırlar GitHub ve popüler AI platformları içindi.
Kötü amaçlı NX sürümlerini 20.9.0 ila 21.8.0 kullanan herkes için, en önemli adım, kimlik bilgilerinin ortaya çıktığını hemen varsaymaktır. GitGuardian, geliştiricilerin gerçek anahtarlarını hiç açıklamadan uzlaşmış kimlik bilgilerini kontrol etmelerini sağlayan HasySecretLeaked adlı ücretsiz bir hizmet oluşturdu.
Bu saldırı bize tehlikeye atılan bir dosyayı silmenin yeterli olmadığını hatırlatıyor; Saldırganların daha fazla erişimini önlemek için gerçek gizli anahtarlar ve jetonlar iptal edilmeli ve döndürülmelidir.