CRITICAL🇬🇧 English

CVE-2025-10894

Atak supply-chain na pakiet Nx (npm) — kradzież danych uwierzytelniających

CVSS 9.6v3.1pub. 2025-09-24upd. 2026-04-15

Do pakietu Nx (system budowania projektów) oraz powiązanych wtyczek opublikowanych w rejestrze npm został wstrzyknięty złośliwy kod w ramach ataku supply-chain. Skompromitowane wersje pakietu zbierają dane uwierzytelniające z systemu plików użytkownika i przesyłają je na zewnętrzne repozytoria GitHub.

Pokaż oryginał (EN)

Malicious code was inserted into the Nx (build system) package and several related plugins. The tampered package was published to the npm software registry, via a supply-chain attack. Affected versions contain code that scans the file system, collects credentials, and posts them to GitHub as a repo under user's accounts.

🤖 Analiza AI
Jak działa

Atakujący opublikowali sfałszowane wersje pakietu Nx oraz powiązanych wtyczek w rejestrze npm, podmieniając lub nadpisując legalne wersje. Złośliwy kod osadzony w pakiecie skanuje system plików w poszukiwaniu danych uwierzytelniających (np. kluczy API, tokenów, haseł). Zebrane poświadczenia są następnie wysyłane do repozytoriów GitHub zakładanych na kontach ofiar lub atakujących. Atak jest realizowany automatycznie podczas instalacji lub uruchamiania zainfekowanego pakietu.

Skutki

Atakujący może uzyskać dostęp do danych uwierzytelniających przechowywanych na stacjach roboczych i serwerach deweloperskich, co może prowadzić do przejęcia kont, dalszego lateral movement w infrastrukturze oraz ujawnienia wrażliwych zasobów organizacji.

Mitygacja

Należy natychmiast sprawdzić, czy w projektach zainstalowano dotknięte wersje pakietu Nx i jego wtyczek, a następnie zaktualizować do wersji niezawierających złośliwego kodu zgodnie z oficjalnym security advisory dostępnym pod adresem https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c. Należy również rotować wszelkie dane uwierzytelniające (tokeny, klucze API, hasła) przechowywane na maszynach, na których instalowano pakiet. Zaleca się audyt logów npm oraz weryfikację integralności pakietów przy użyciu mechanizmów lockfile i sum kontrolnych.

Kogo dotyczy

Pakiet Nx (system budowania) oraz powiązane wtyczki opublikowane w rejestrze npm — konkretne zakresy wersji wskazane w referencjach producenta (advisory GHSA-cxm3-wv7p-598c).

Uwagi

Podatność dotyczy ataku na łańcuch dostaw oprogramowania (supply-chain attack) wymierzonego w ekosystem npm. Złośliwy kod wg opisu exfiltruje dane uwierzytelniające na repozytoria GitHub tworzone na kontach użytkowników. Szczegółowe informacje techniczne dostępne są w raporcie StepSecurity oraz w oficjalnym advisory projektu Nx.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje