⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
As investigações sobre o ataque da cadeia de suprimentos NX "S1nGularity" da NPM revelaram uma enorme conseqüência, com milhares de tokens de conta e segredos de repositório vazados.
De acordo com uma avaliação pós-incidente dos pesquisadores do WIZ, o compromisso do NX resultou na exposição de 2.180 contas e 7.200 repositórios em três fases distintas.
Wiz também enfatizou que o escopo de impacto do incidente permanece significativo, pois muitos dos segredos vazados permanecem válidos e, portanto, o efeito ainda está se desenrolando.
O ataque da cadeia de suprimentos "S1nGularity" NX
O NX é um popular sistema de compilação de código aberto e ferramenta de gerenciamento Monorepo, amplamente utilizada em ecossistemas JavaScript/TypeScript em escala corporativa, com mais de 5,5 milhões de downloads semanais no índice de pacotes da NPM.
Em 26 de agosto de 2025, os atacantes exploraram um fluxo de trabalho de ações do GitHub no repositório NX para publicar uma versão maliciosa do pacote no NPM, que incluiu um script de malware pós-instalação ('Telemetry.js').
O malware de telemetria.js é um ladrão de credenciais direcionando sistemas Linux e MacOS, que tentou roubar tokens github, tokens npm, chaves ssh, arquivos .env, carteiras de criptografia e fazer upload dos segredos para os repositórios públicos de github denominados "s1ngularity-repositório".
O que fez esse ataque se destacar foi que o ladrão de credenciais usou ferramentas de linha de comando instaladas para plataformas de inteligência artificial, como Claude, Q e Gêmeos, para pesquisar e colher credenciais e segredos sensíveis ao LLM.
LLM Promot a procurar e roubar credenciais e outros SecretsSource: Wiz
Wiz relata que o prompt mudou sobre cada iteração do ataque, mostrando que o ator de ameaças estava ajustando o prompt para um melhor sucesso.
"A evolução do prompt mostra o invasor explorando o primeiro ajuste rapidamente ao longo do ataque. Podemos ver a introdução da criação de papéis, bem como níveis variados de especificidade nas técnicas", explicou Wiz.
"Essas mudanças tiveram um impacto concreto no sucesso do malware. A introdução da frase" teste de penetração ", por exemplo, foi refletida concretamente nas recusas de LLM em se envolver em tal atividade".
Um raio de explosão enorme
Na primeira fase do ataque, entre 26 e 27 de agosto, os pacotes NX backdoord impactaram diretamente 1.700 usuários, vazando mais de 2.000 segredos únicos. O ataque também expôs 20.000 arquivos de sistemas infectados.
O Github respondeu derrubando os repositórios que o atacante criou após oito horas, mas os dados já haviam sido copiados.
Entre os 28 e 29 de agosto, que o Wiz define como a Fase 2 do incidente, os atacantes usaram os tokens do Github vazado para girar repositórios privados ao público, renomeando -os para incluir a corda 's1nguularidade'.
Isso resultou no compromisso adicional de outras 480 contas, a maioria das quais eram organizações e a exposição pública de 6.700 repositórios privados.
Na terceira fase, que começou em 31 de agosto, os atacantes visavam uma única organização de vítimas, utilizando duas contas comprometidas para publicar 500 repositórios privados adicionais.
Visão geral do S1NGULARity AttackSource: Wiz
Resposta do NX
A equipe do NX publicou uma análise de causa raiz detalhada no Github, explicando que o compromisso veio de uma injeção de título de solicitação de puxão combinada com o uso inseguro de pull_request_target.
Isso permitiu que os atacantes executassem código arbitrário com permissões elevadas, que por sua vez desencadearam o Publish Pipeline da NX e exfiltraram o token de publicação do NPM.
Os pacotes maliciosos foram removidos, os tokens comprometidos foram revogados e girados e a autenticação de dois fatores foi adotada em todas as contas dos editores.
Para impedir uma recorrência de tal compromisso, o projeto NX agora adotou o modelo de editor confiável da NPM, que elimina a publicação baseada em token, e adicionou aprovação manual para fluxos de trabalho desencadeados por RP.
PICUS AZUL RELATÓRIO 2025 ESTÁ AQUI: 2X AUMENTO NO
46% dos ambientes tinham senhas quebradas, quase dobrando de 25% no ano passado.
Obtenha o PICUS Blue Report 2025 agora para obter uma visão abrangente de mais descobertas sobre tendências de prevenção, detecção e exfiltração de dados.
Obtenha o relatório azul 2025
De acordo com uma avaliação pós-incidente dos pesquisadores do WIZ, o compromisso do NX resultou na exposição de 2.180 contas e 7.200 repositórios em três fases distintas.
Wiz também enfatizou que o escopo de impacto do incidente permanece significativo, pois muitos dos segredos vazados permanecem válidos e, portanto, o efeito ainda está se desenrolando.
O ataque da cadeia de suprimentos "S1nGularity" NX
O NX é um popular sistema de compilação de código aberto e ferramenta de gerenciamento Monorepo, amplamente utilizada em ecossistemas JavaScript/TypeScript em escala corporativa, com mais de 5,5 milhões de downloads semanais no índice de pacotes da NPM.
Em 26 de agosto de 2025, os atacantes exploraram um fluxo de trabalho de ações do GitHub no repositório NX para publicar uma versão maliciosa do pacote no NPM, que incluiu um script de malware pós-instalação ('Telemetry.js').
O malware de telemetria.js é um ladrão de credenciais direcionando sistemas Linux e MacOS, que tentou roubar tokens github, tokens npm, chaves ssh, arquivos .env, carteiras de criptografia e fazer upload dos segredos para os repositórios públicos de github denominados "s1ngularity-repositório".
O que fez esse ataque se destacar foi que o ladrão de credenciais usou ferramentas de linha de comando instaladas para plataformas de inteligência artificial, como Claude, Q e Gêmeos, para pesquisar e colher credenciais e segredos sensíveis ao LLM.
LLM Promot a procurar e roubar credenciais e outros SecretsSource: Wiz
Wiz relata que o prompt mudou sobre cada iteração do ataque, mostrando que o ator de ameaças estava ajustando o prompt para um melhor sucesso.
"A evolução do prompt mostra o invasor explorando o primeiro ajuste rapidamente ao longo do ataque. Podemos ver a introdução da criação de papéis, bem como níveis variados de especificidade nas técnicas", explicou Wiz.
"Essas mudanças tiveram um impacto concreto no sucesso do malware. A introdução da frase" teste de penetração ", por exemplo, foi refletida concretamente nas recusas de LLM em se envolver em tal atividade".
Um raio de explosão enorme
Na primeira fase do ataque, entre 26 e 27 de agosto, os pacotes NX backdoord impactaram diretamente 1.700 usuários, vazando mais de 2.000 segredos únicos. O ataque também expôs 20.000 arquivos de sistemas infectados.
O Github respondeu derrubando os repositórios que o atacante criou após oito horas, mas os dados já haviam sido copiados.
Entre os 28 e 29 de agosto, que o Wiz define como a Fase 2 do incidente, os atacantes usaram os tokens do Github vazado para girar repositórios privados ao público, renomeando -os para incluir a corda 's1nguularidade'.
Isso resultou no compromisso adicional de outras 480 contas, a maioria das quais eram organizações e a exposição pública de 6.700 repositórios privados.
Na terceira fase, que começou em 31 de agosto, os atacantes visavam uma única organização de vítimas, utilizando duas contas comprometidas para publicar 500 repositórios privados adicionais.
Visão geral do S1NGULARity AttackSource: Wiz
Resposta do NX
A equipe do NX publicou uma análise de causa raiz detalhada no Github, explicando que o compromisso veio de uma injeção de título de solicitação de puxão combinada com o uso inseguro de pull_request_target.
Isso permitiu que os atacantes executassem código arbitrário com permissões elevadas, que por sua vez desencadearam o Publish Pipeline da NX e exfiltraram o token de publicação do NPM.
Os pacotes maliciosos foram removidos, os tokens comprometidos foram revogados e girados e a autenticação de dois fatores foi adotada em todas as contas dos editores.
Para impedir uma recorrência de tal compromisso, o projeto NX agora adotou o modelo de editor confiável da NPM, que elimina a publicação baseada em token, e adicionou aprovação manual para fluxos de trabalho desencadeados por RP.
PICUS AZUL RELATÓRIO 2025 ESTÁ AQUI: 2X AUMENTO NO
46% dos ambientes tinham senhas quebradas, quase dobrando de 25% no ano passado.
Obtenha o PICUS Blue Report 2025 agora para obter uma visão abrangente de mais descobertas sobre tendências de prevenção, detecção e exfiltração de dados.
Obtenha o relatório azul 2025
#samirnews #samir #news #boletimtec #malware #movido #a #ia #atingiu #2.180 #contas #do #github #no #ataque #"s1ngularity"
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário