Más de 1.400 desarrolladores descubrieron hoy que un guión malicioso posterior a la instalación en el popular kit de compilación NX creó silenciosamente un repositorio llamado S1ngularity-Repository en sus cuentas de Github.
Este repositorio contiene un volcado codificado por Base64 de archivos de billetera de datos confidenciales, claves API, credenciales .NPMRC, variables de entorno y más cosechados directamente de los sistemas de archivos de los desarrolladores.
Control de llave
1. Malware en la herramienta de compilación NX roba credenciales y crea reposos GitHub.
2. Se dirige a Claude y Gemini Clis para la exfiltración de datos avanzados.
3. Elimine reposos sospechosos, actualice NX y gire los secretos con urgencia.
Exfiltración de datos asistido por AI-AI
Semgrep informes que los atacantes aprovecharon el gancho NX posterior a la instalación a través de un archivo llamado Telemetry.js para ejecutar código malicioso inmediatamente después de la instalación del paquete.
El malware primero recopila variables de entorno e intenta localizar un token de autenticación GitHub a través de la CLI GitHub. Armado con credenciales, luego crea un repositorio público como S1ngularity-Repository-0 y compromete los datos robados en los resultados. B64.
Lo que hace que esta campaña sea particularmente novedosa es su integración con Claude Code CLI o Gemini CLI. Si está presente CLI con AI, el malware emite una solicitud cuidadosamente elaborada para realizar escaneos del sistema de archivos de huellas dactilares:
Este enfoque impulsado por la IA descarga la mayor parte de la enumeración del sistema de archivos basada en la firma con la LLM, lo que complica la detección tradicional de malware.
Versiones y mitigaciones afectadas de NX
@nx/devkit 21.5.0, 20.9.0 @nx/Enterprise-Cloud 3.2.0 @nx/eSlint 21.5.0 @nx/key 3.2.0 @nx/node 21.5.0, 20.9.0 @nx/workpace 21.5.0, 20.9.0 @NX 20.9.0–20.12.0, 21.5.0–21.8.0
Los desarrolladores que usan cualquier versiones afectadas deben ejecutarse inmediatamente:
o inspeccionar los archivos de bloqueo para las dependencias vulnerables.
Buscar repositorios no autorizados. Elimine cualquier repositorio s1ngularity* que encuentre. Actualice NX a la versión SAFE 21.4.1 (versiones vulnerables eliminadas de NPM). Gire todos los secretos expuestos: tokens GitHub, credenciales de NPM, claves SSH, variables de entorno. Elimine las directivas de cierre malicioso en los archivos de inicio de Shell (por ejemplo, .BASHRC).
A medida que se desarrolla el incidente, se insta a las organizaciones a monitorear las creaciones de repositorio y hacer cumplir la estricta auditoría posterior a la instalación.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
