nx 包被投毒,通过调用 AI CLI 工具窃取敏感资料
nx 官方简介[1]:An AI-first build platform that connects everything from your editor to CI. Helping you deliver fast, without breaking things.
由于 nx 包 Github 仓库的 Github Actions 权限配置错误,导致 npm Token 被黑客窃取。
黑客在短时间内发布了多个带毒新版本软件包,诱导受害者升级,恶意软件会通过 postinstall 过程安装。
通过 Claude Code、Gemini CLI、Amazon Q 等 AI CLI 工具执行恶意的 Prompt,在用户电脑上检索加密货币钱包的密钥、Github Token、SSH 私钥、npm Token、环境变量文件等内容,并将路径输出在一个临时文件中。
随后会利用受害者的 Github Token 创建一个公开仓库,将敏感内容 base64 编码后上传到仓库中。目前有数千人受到影响,
ref: https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware
[1]: https://github.com/nrwl/nx?tab=readme-ov-file#smart-repos--fast-builds
nx 官方简介[1]:An AI-first build platform that connects everything from your editor to CI. Helping you deliver fast, without breaking things.
由于 nx 包 Github 仓库的 Github Actions 权限配置错误,导致 npm Token 被黑客窃取。
黑客在短时间内发布了多个带毒新版本软件包,诱导受害者升级,恶意软件会通过 postinstall 过程安装。
通过 Claude Code、Gemini CLI、Amazon Q 等 AI CLI 工具执行恶意的 Prompt,在用户电脑上检索加密货币钱包的密钥、Github Token、SSH 私钥、npm Token、环境变量文件等内容,并将路径输出在一个临时文件中。
随后会利用受害者的 Github Token 创建一个公开仓库,将敏感内容 base64 编码后上传到仓库中。目前有数千人受到影响,
ref: https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware
[1]: https://github.com/nrwl/nx?tab=readme-ov-file#smart-repos--fast-builds
www.stepsecurity.io
s1ngularity: Popular Nx Build System Package Compromised with Data-Stealing Malware - StepSecurity
s1ngularity attack hijacked Nx package on npm to steal cryptocurrency wallets, GitHub/npm tokens, SSH keys, and environment secrets - the first documented case of malware weaponizing AI CLI tools for reconnaissance and data exfiltration.
