Do pakietu Nx (system budowania projektów) oraz powiązanych wtyczek opublikowanych w rejestrze npm został wstrzyknięty złośliwy kod w ramach ataku supply-chain. Skompromitowane wersje pakietu zbierają dane uwierzytelniające z systemu plików użytkownika i przesyłają je na zewnętrzne repozytoria GitHub.
▸ Pokaż oryginał (EN)
Malicious code was inserted into the Nx (build system) package and several related plugins. The tampered package was published to the npm software registry, via a supply-chain attack. Affected versions contain code that scans the file system, collects credentials, and posts them to GitHub as a repo under user's accounts.
Atakujący opublikowali sfałszowane wersje pakietu Nx oraz powiązanych wtyczek w rejestrze npm, podmieniając lub nadpisując legalne wersje. Złośliwy kod osadzony w pakiecie skanuje system plików w poszukiwaniu danych uwierzytelniających (np. kluczy API, tokenów, haseł). Zebrane poświadczenia są następnie wysyłane do repozytoriów GitHub zakładanych na kontach ofiar lub atakujących. Atak jest realizowany automatycznie podczas instalacji lub uruchamiania zainfekowanego pakietu.
Atakujący może uzyskać dostęp do danych uwierzytelniających przechowywanych na stacjach roboczych i serwerach deweloperskich, co może prowadzić do przejęcia kont, dalszego lateral movement w infrastrukturze oraz ujawnienia wrażliwych zasobów organizacji.
Należy natychmiast sprawdzić, czy w projektach zainstalowano dotknięte wersje pakietu Nx i jego wtyczek, a następnie zaktualizować do wersji niezawierających złośliwego kodu zgodnie z oficjalnym security advisory dostępnym pod adresem https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c. Należy również rotować wszelkie dane uwierzytelniające (tokeny, klucze API, hasła) przechowywane na maszynach, na których instalowano pakiet. Zaleca się audyt logów npm oraz weryfikację integralności pakietów przy użyciu mechanizmów lockfile i sum kontrolnych.
Pakiet Nx (system budowania) oraz powiązane wtyczki opublikowane w rejestrze npm — konkretne zakresy wersji wskazane w referencjach producenta (advisory GHSA-cxm3-wv7p-598c).
Podatność dotyczy ataku na łańcuch dostaw oprogramowania (supply-chain attack) wymierzonego w ekosystem npm. Złośliwy kod wg opisu exfiltruje dane uwierzytelniające na repozytoria GitHub tworzone na kontach użytkowników. Szczegółowe informacje techniczne dostępne są w raporcie StepSecurity oraz w oficjalnym advisory projektu Nx.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H