Supply chain-aanval via Nx woedt op GitHub

In dit artikel:

Kwaadwillenden verspreiden sinds deze week vervalste versies van het build-systeem Nx via de npm-registry om gevoelige ontwikkelaarsgegevens te stelen. De nep-pakketten, die dinsdag online verschenen, bevatten een installatie-script dat op zoek ging naar cryptovaluta, GitHub- en npm-tokens en SSH-keys. Beveiligingsbedrijf Wiz signaleerde de campagne onder de naam “s1ngularity”; volgens hen zijn zo’n 3.000 repositories van meer dan 190 gebruikers of organisaties getroffen.

De aanval profiteerde van een fout in een GitHub Actions-workflow waardoor code-injectie mogelijk werd via onbeoordeelde pull request-titels. GitHub stopte een deel van de exfiltratie na ongeveer acht uur, maar Wiz ontdekte op 27 augustus dat nieuwe gecompromitteerde repositories bleven verschijnen. Behalve Wiz rapporteerden ook Step Security en onderzoeker Adnan Khan onderdelen van de campagne; Step Security vond een malafide telemetry.js die, enkel op Linux en macOS, op afstand opdrachten uitvoerde.

Opmerkelijk is dat command-line AI-assistenten zoals Claude, Gemini en Amazon Q de aanvallers hielpen bij het vinden van waardevolle gegevens, hoewel soms guardrails ingrepen. Nieuwe branches bevatten inmiddels fixes, maar oudere varianten blijven actief.

Wiz raadt aan getroffen systemen onmiddellijk te herstellen: malafide Nx-versies verwijderen en vervangen door veilige releases, kwaadaardige shell-entries en ongewenste bestanden (/tmp/inventory.txt, .bak) verwijderen, auditlogs controleren en alle mogelijke tokens, sleutels en cryptowallets regenereren of veiligstellen om verdere schade te voorkomen.