Масштабная атака s1ngularity: 2180 аккаунтов GitHub скомпрометированы через уязвимость Nx

Как одна дыра в GitHub Action превратила 6700 приватных репозиториев в публичные Тут подъехал детальный разбор недавней атаки на цепочку поставок Nx от Wiz Research Все началось с компрометации npm токена через уязвимый GitHub Action Атакующий выпустил вредоносные версии пакетов Nx которые собирали переменные окружения npm и GitHub токены и публиковали их в открытых репозиториях Затем используя утекшие GitHub токены он сделал публичными более 6700 приватных репозиториев у почти 500 скомпрометированных пользователей включая целые организации Вредонос проверял наличие в системе ИИ CLI утилит Claude Gemini Amazon Q и просил их найти интересные файлы на диске Однако эффективность этого подхода оказалась низкой AI инструменты были установлены только у половины жертв а в некоторых случаев Claude просто отказывался выполнять вредоносный промпт из за встроенных защит В итоге ИИ часть атаки сработала успешно менее чем в 25 случаев Интересен и подход атакующего к собственной безопасности Вместо того чтобы палить свою инфраструктуру и поднимать свой сервер он сначала использовал webhook site для слива данных а затем переключился на создание публичных репозиториев на аккаунтах жертв Это минимизирует его собственный след и не дает себя вычислить Для доступа к скомпрометированным аккаунтам использовался TOR а для публикации репозиториев простой Python скрипт Типичный Сисадмин

Расследование атаки на цепочку поставок NPM Nx s1ngularity привело к неожиданно масштабным последствиям утечке подверглись тысячи токенов учетных записей и секретов репозиториев По данным Wiz после инцидента взлом Nx привел к раскрытию 2180 учетных записей и 7200 репозиториев в рамках трех отдельных этапов Причем многие из раскрытых секретов остаются актуальными и поэтому последствия продолжают ощущаться Nx популярная система сборки с открытым исходным кодом и инструмент управления монорепозиториями широко используемая в экосистемах JavaScript TypeScript корпоративного уровня Число ее еженедельных загрузок в индексе пакетов NPM превышает 5 5 миллионов 26 августа 2025 года злоумышленники воспользовались уязвимостью рабочего процесса GitHub Actions в репозитории Nx для публикации вредоносной версии пакета на NPM которая включала вредоносный скрипт после установки telemetry js Вредоносное ПО telemetry js это стилер нацеленный на системы Linux и macOS Он реализовывал кражу токенов GitHub npm ключей SSH файлов env криптокошельков и пытался загрузить секреты в публичные репозитории GitHub под названием s1ngularity repository Уникальной особенностью этой атаки было задействование стилером установленных инструментов командной строки для платформ ИИ Claude Q и Gemini в целях поиска и сбора конфиденциальных учетных данных и секретов с помощью подсказок LLM При этом как отмечает Wiz подсказка эволюционировала при каждой итерации атаки что свидетельствует о том что злоумышленник настраивал ее для достижения большего успеха На первом этапе атаки с 26 по 27 августа заражённые пакеты Nx напрямую затронули 1700 пользователей что привело к утечке более 2000 уникальных секретных данных В результате атаки также были раскрыты 20 000 файлов из заражённых систем GitHub отреагировал удалив репозитории созданные злоумышленником через восемь часов однако данные уже были собраны и скопированы Затем в период с 28 по 29 августа второй фазы инцидента злоумышленники воспользовались утечкой токенов GitHub чтобы превратить закрытые репозитории в публичные переименовав их так чтобы они включали строку s1ngularity Это привело к дальнейшей компрометации еще 480 учетных записей большинство из которых принадлежали компаниям а также к раскрытию информации о 6700 частных репозиториях На третьем этапе который стартовал 31 августа злоумышленники нацелились еще на одну жертву с использованием двух взломанных учетных записей для публикации еще 500 закрытых репозиториев Команда Nx опубликовала на GitHub подробный анализ первопричин поясняя что взлом произошел из за внедрения заголовка запроса на извлечение в сочетании с небезопасным использованием pull request target Это позволило злоумышленникам запустить произвольный код с повышенными правами доступа что в свою очередь активировало конвейер публикации Nx и позволило перехватить токен публикации npm Вредоносные пакеты были удалены скомпрометированные токены были отозваны и ротированы а для всех учетных записей издателей была внедрена двухфакторная аутентификация Для предотвращения повтора подобной атаки Nx теперь использует модель доверенного издателя NPM которая исключает публикацию на основе токенов и добавляет ручное одобрение для рабочих процессов инициируемых PR

Как одна дыра в GitHub Action превратила 6700 приватных репозиториев в публичные Тут подъехал детальный разбор недавней атаки на цепочку поставок Nx от Wiz Research Все началось с компрометации npm токена через уязвимый GitHub Action Атакующий выпустил вредоносные версии пакетов Nx которые собирали переменные окружения npm и GitHub токены и публиковали их в открытых репозиториях Затем используя утекшие GitHub токены он сделал публичными более 6700 приватных репозиториев у почти 500 скомпрометированных пользователей включая целые организации Вредонос проверял наличие в системе ИИ CLI утилит Claude Gemini Amazon Q и просил их найти интересные файлы на диске Однако эффективность этого подхода оказалась низкой AI инструменты были установлены только у половины жертв а в некоторых случаев Claude просто отказывался выполнять вредоносный промпт из за встроенных защит В итоге ИИ часть атаки сработала успешно менее чем в 25 случаев Интересен и подход атакующего к собственной безопасности Вместо того чтобы палить свою инфраструктуру и поднимать свой сервер он сначала использовал webhook site для слива данных а затем переключился на создание публичных репозиториев на аккаунтах жертв Это минимизирует его собственный след и не дает себя вычислить Для доступа к скомпрометированным аккаунтам использовался TOR а для публикации репозиториев простой Python скрипт Типичный Сисадмин

Атака s1ngularity взломала 2180 GitHub аккаунтов и раскрыла тысячи секретов 8 сентября CYBER MEDIA Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx получившей название s1ngularity По их данным злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома В результате были скомпрометированы 2180 аккаунтов GitHub и более 7200 репозиториев Атака проходила в несколько этапов Сначала хакеры встроили вредоносный код в модифицированные пакеты Nx которые автоматически устанавливали у разработчиков бэкдоры Затем происходил сбор токенов доступа и секретов репозиториев а финальным шагом стало распространение украденных данных через сторонние каналы По оценке Wiz масштабы утечки могут оказаться ещё больше скомпрометированные токены дают злоумышленникам возможность выполнять произвольные операции в экосистеме GitHub включая кражу исходного кода и заражение других проектов Особую опасность атака представляет для компаний которые используют Nx в корпоративной разработке Эксперты рекомендуют немедленно отозвать все скомпрометированные токены обновить Nx до последних версий и тщательно проверить журналы доступа к репозиториям Инцидент с s1ngularity стал одним из самых показательных примеров того как вредоносное ПО на базе ИИ способно массово автоматизировать взломы и усиливать риски для всей экосистемы open source

Массированная атака на GitHub Привет знаешь что страшно Когда твои токены которые ты так долго защищал уходят на чужие серверы Это случилось в очередной атаке на GitHub выявленной исследователями из GitGuardian Злоумышленники взломали 327 аккаунтов заменив обработчик Github Actions в 817 репозиториях Вредоносный код начал утекать в открытый доступ включая токены для доступа к PyPI GitHub NPM и DockerHub Атака использовала механизм GitHub Actions который позволяет автоматизировать рабочие процессы для разработчиков Через обработчик с названием Github Actions Security был внедрён код который с помощью команды curl передавал содержимое переменных окружения среди которых были и секреты на внешний сервер Так можно было получить доступ к токенам и другим данным связанным с API и использовать их для своих целей Интересно что атака была обнаружена благодаря анализу активности с пакетом FastUUID на PyPI который был популярным в своём сегменте Внедрение вредоносного кода в GitHub Action стало одним из первых сигналов Однако удалось предотвратить злоупотребление перехваченными токенами и по состоянию на сегодняшний день вредоносный коммит был отменён в 100 репозиториях P S Не забывай про безопасность своих токенов Вроде бы мелочь а в итоге может привести к крупным утечкам GitHub leak Белый хакер

news Подоспел анализ недавней атаки на цепочку поставок по Nx Как и следовало ожидать сменить токены успели не только лишь все Так что одной их утечкой дело не ограничилось В постинцидентном отчёте выделили три фазы Первая уже известные утёкшие 2 000 секретов и 20 000 файлов у 1 700 юзеров Следов токены использовали чтобы сделать приватные репы публичными это затронуло ещё 480 аккаунтов и вскрыло 6 700 репозиториев И наконец одна компания вытянула несчастливый лотерейный по ней была таргетированная атака со скомпрометированных аккаунтов опубликовали ещё 500 репозиториев Из интересного в атаке использовали промпты для LLM ок на целевых машинах но в целом эффективность экспериментов с модельками от традиционных методов пока отстаёт Ключевое слово пока Через год два в каждом утюге будет по LLM ке а там уже найдётся и поверхность атаки под любой каприз tomhunter

Атака s1ngularity затронула 2180 аккаунтов GitHub По данным специалистов компании Wiz которые изучили недавнюю атаку s1ngularity нацеленную на NX инцидент привел к масштабным последствиям Взлом NX спровоцировал раскрытие данных 2180 учетных записей и затронул 7200 репозиториев xakep ru 2025 09 09 s1ngularitys aftermath