В пакет Nx (система сборки) и несколько связанных с ним плагинов был внедрён вредоносный код. Скомпрометированный пакет был опубликован в р…
В пакет Nx (система сборки) и несколько связанных с ним плагинов был внедрён вредоносный код. Скомпрометированный пакет был опубликован в реестре программного обеспечения npm посредством атаки на цепочку поставок. Затронутые версии содержат код, который сканирует файловую систему, собирает учетные данные и отправляет их на GitHub в репозиторий под учетной записью пользователя [1]. Для проверки, были ли вы затронуты, проверьте журналы аудита вашей учетной записи GitHub (https://github.com/settings/security-log?q=action%3Arepo.create) на наличие репозитория с именем, содержащим s1ngularity-repository. Если такой репозиторий существует, ваши учетные данные, вероятно, были скомпрометированы. Немедленно смените все учетные данные, такие как токены GitHub, NPM и другие, которые могли быть в ваших переменных окружения. Также проверьте наличие файла /tmp/inventory.txt на вашей локальной машине, который может содержать список файлов, прочитанных вредоносным ПО. Для пользователей, которые были скомпрометированы, рекомендуется сменить токены NPM и GitHub, изменить пароли GitHub и других используемых сервисов, а также проверить файлы .zshrc и .bashrc на наличие подозрительных строк. Для поддержания безопасности немедленно обновите версию Nx до последней, очистите кэши пакетного менеджера и удалите кэш директории. Поддерживающие плагины и версии Nx, которые были скомпрометированы, включают @nx/devkit@20.9.0, @nx/devkit@21.5.0, nx@20.10.0, nx@20.11.0, среди прочих. Атака была осуществлена через уязвимость в рабочем процессе GitHub Actions, позволяющую выполнять произвольные команды bash. Злоумышленник смог получить токен NPM, который был использован для публикации вредоносных версий Nx. Источники: - [1] https://access.redhat.com/security/cve/CVE-2025-10894 - [2] https://access.redhat.com/security/supply-chain-attacks-NPM-packages - [3] https://bugzilla.redhat.com/show_bug.cgi?id=2396282 - [4] https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c - [5] https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware
Продукт содержит код, носящий вредоносный характер.
https://cwe.mitre.org/data/definitions/506.html →Открыть в коллекции CWE →Злоумышленник добавляет вредоносную логику, нередко в форме компьютерного вируса, в иное безобидное программное обеспечение. Эта логика зачастую скрыта от пользователя программного обеспечения и работает в фоновом режиме, производя негативные воздействия. Зачастую вредоносная логика внедряется в пустое пространство между легитимным кодом и вызывается при запуске программного обеспечения. Данный шаблон атаки ориентирован на программное обеспечение, уже введённое в эксплуатацию, в отличие от ПО, находящегося в стадии разработки и являющегося частью цепочки поставок.
https://capec.mitre.org/data/definitions/442.html →Открыть в коллекции CAPEC →Злоумышленник вносит изменения в DLL и встраивает компьютерный вирус в промежутки между легитимными машинными инструкциями. Эти промежутки могут являться результатом оптимизаций компилятора, выравнивающего блоки памяти для повышения производительности. Внедрённый вирус затем предпринимает попытки заразить любую машину, взаимодействующую с продуктом, и, возможно, похитить конфиденциальные данные или организовать прослушивание.
https://capec.mitre.org/data/definitions/448.html →Открыть в коллекции CAPEC →Файлы в различных операционных системах могут иметь сложный формат, допускающий хранение дополнительных данных помимо основного содержимого. Зачастую это метаданные файла, например кешированный эскиз изображения. Если утилиты не вызываются особым образом, эти данные не видны при обычном использовании файла. Злоумышленник может хранить вредоносные данные или код с помощью этих механизмов, что затрудняет их обнаружение.
https://capec.mitre.org/data/definitions/636.html →Открыть в коллекции CAPEC →