Bugün 1.400’den fazla geliştirici, popüler NX Build kitindeki kötü niyetli bir install komut dosyasının GitHub hesaplarında sessizce S1NGularity-Repository adlı bir depo oluşturduğunu keşfetti.
Bu depo, Base64 kodlu hassas veri cüzdan dosyaları, API anahtarları, .NPMRC kimlik bilgileri, ortam değişkenleri ve doğrudan geliştiricilerin dosya sistemlerinden daha fazla hasat edilen bir döküm içerir.
Key Takeaways
1. Malware in the NX build tool steals credentials and creates GitHub repos.
2. Targets Claude and Gemini CLIs for advanced data exfiltration.
3. Delete suspicious repos, update NX, and rotate secrets urgently.
AI destekli veri püskürtme
SEMGREP, saldırganların paket kurulumundan hemen sonra kötü amaçlı kod yürütmek için telemetri.js adlı bir dosya aracılığıyla NX install kancasını kullandığını bildiriyor.
Kötü amaçlı yazılım ilk olarak ortam değişkenlerini toplar ve GitHub CLI aracılığıyla bir GitHub kimlik doğrulama jetonunu bulmaya çalışır. Kimlik bilgileriyle donanmış, daha sonra S1NGularity-Repository-0 gibi bir kamu deposu oluşturur ve çalınan verileri sonuçlarda gerçekleştirir. B64.
Bu kampanyayı özellikle yeni yapan şey, Claude Code Cli veya Gemini Cli ile entegrasyonudur. Yapay zeka ile çalışan CLI mevcutsa, kötü amaçlı yazılım, parmak izlenebilir dosya sistemi taramaları yapmak için özenle hazırlanmış bir istem verir:
Bu AI odaklı yaklaşım, imza tabanlı dosya sistemi numaralandırmasının büyük kısmını LLM’ye indirerek geleneksel kötü amaçlı yazılım algılamasını karmaşıklaştırır.
Etkilenen NX versiyonları ve hafifletmeler
- @nx/devkit 21.5.0, 20.9.0
- @NX/Enterprise-Cloud 3.2.0
- @nx/Eslint 21.5.0
- @NX/Key 3.2.0
- @nx/düğüm 21.5.0, 20.9.0
- @nx/çalışma alanı 21.5.0, 20.9.0
- @NX 20.9.0–20.12.0, 21.5.0–21.8.0
Etkilenen herhangi bir sürüm kullanan geliştiriciler hemen çalışmalıdır:
veya Kilit Dosyalarını savunmasız bağımlılıklar için inceleyin.
- Yetkisiz depoları arayın.
- Bulduğunuz herhangi bir S1NGularity-Repository* silin.
- NX’i Güvenli Sürüm 21.4.1’e güncelleyin (NPM’den kaldırılan savunmasız sürümler).
- Maruz kalan tüm sırları döndürün: GitHub tokenleri, NPM kimlik bilgileri, SSH tuşları, çevre değişkenleri.
- Kabuk başlatma dosyalarındaki kötü amaçlı kapatma yönergelerini kaldırın (örn. .BASHRC).
Olay ortaya çıktıkça, kuruluşlar depo kreasyonlarını izlemeye ve katı kurulum sonrası denetimi uygulamaya istenir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.