摘要:网络安全研究团队StepSecurity近日发出警告,流行的Nx构建系统软件包遭遇大规模供应链攻击。该软件包每周下载量超过400万次。2025年8月26日,攻击者发布了一系列包含恶意代码的Nx版本,专门窃取加密货币钱包、SSH密钥、环境变量和开发者令牌。
根据报告显示:自2025年8月26日UTC时间约23:00起,攻击者发布了一系列包含恶意代码的受感染版Nx构建系统软件包。这些受感染的软件包利用恶意安装后钩子执行telemetry.js脚本。受感染的Nx软件包包含一个恶意安装后钩子,会触发名为telemetry.js的文件。该脚本在软件包安装后立即执行,使攻击者能够大规模访问开发者机器。
与常见的代码库入侵不同,此次攻击似乎源于npm发布凭证被盗。恶意负载专门针对Linux和macOS系统设计,避开了Windows平台,其功能包括:
扫描系统路径中的敏感文件(如.env、id_rsa、wallet.dat和浏览器存储)
针对主流加密货币钱包(MetaMask、Electrum、Ledger、Trezor、Exodus、Phantom、Solflare)
窃取GitHub和npm令牌
收集SSH私钥和环境变量
Part02AI工具的异常滥用最令人担忧的是攻击者创新性地滥用了AI命令行工具。报告警告称:在一个令人担忧的新发展中,恶意软件试图滥用本地安装的AI助手CLI(claude、gemini)来绕过传统安全边界。通过使用--dangerously-skip-permissions和--trust-all-tools等参数执行命令,恶意软件迫使AI助手递归清点敏感文件,使其成为攻击中的“助手”。
Part03数据泄露与系统破坏窃取数据后,恶意软件利用被盗令牌创建公开的GitHub仓库,将窃取的信息进行三重base64编码后以results.b64形式上传。StepSecurity观察到已有数千个公开GitHub仓库包含外泄的凭证。
除数据窃取外,恶意软件还实施了破坏行为:为了维持持久性并造成破坏,恶意软件在~/.bashrc和~/.zshrc中追加了sudo shutdown -h 0命令。这会导致任何新终端会话尝试立即关闭系统。这种行为不仅干扰开发者工作流程,还延缓了检测时间。
Part04受害者自查指南受影响的用户应检查以下迹象:
被修改的文件(~/.bashrc、~/.zshrc)中包含sudo shutdown -h 0新创建的文件(/tmp/inventory.txt、/tmp/inventory.txt.bak)向api.github.com发出的外联请求创建名为s1ngularity-repository的仓库未经授权的GitHub仓库中存在results.b64文件Part05应急响应措施StepSecurity建议立即采取以下行动:
检查版本:如果使用Nx 20.9.0至21.8.0版本,可能已遭入侵清除恶意代码:删除node_modules、清空npm缓存、更新package-lock.json检查shell配置:从.bashrc和.zshrc中移除任何关机命令审计账户:搜索未经授权的GitHub仓库、审查日志并撤销令牌立即轮换所有凭证:包括GitHub令牌、npm凭证、SSH密钥、API密钥和加密货币钱包参考来源:
Nx Build System Compromise Targets Developers with AI-Enhanced Supply Chain Attack
https://securityonline.info/nx-build-system-compromise-targets-developers-with-ai-enhanced-supply-chain-attack/来源:FreeBuf
