s1ngularity ellátási lánc támadás rosszindulatú Nx csomagokkal
Az nx build rendszer karbantartói figyelmeztették a felhasználókat egy ellátási lánc támadásra, amely lehetővé tette a támadók számára, hogy a népszerű npm csomag és más kiegészítő pluginok rosszindulatú verzióit tegyék közzé adatgyűjtési képességekkel. Az nx csomag rosszindulatú verziói, valamint néhány támogató plugin csomagok kerültek közzétételre az npm-en, amelyek olyan kódot tartalmaznak, amely átvizsgálja a fájlrendszert, összegyűjti a hitelesítő adatokat, és azokat a felhasználói fiókok alatt repo formájában közzéteszi a GitHubon – áll a szerdán közzétett közleményében.
Az Nx egy nyílt forráskódú, technológiától független build platform, amelyet kódbázisok kezelésére terveztek. AI-first build platformként hirdetik, amely összeköti az editorodat a folyamatos integrációval. Az npm csomagot hetente több mint 3,5 millióan töltik le.
A projekt karbantartói szerint a probléma kiváltó oka egy 2025. augusztus 21-én hozzáadott sebezhető workflow volt, amely lehetővé tette végrehajtható kód beillesztését egy pull request (PR) speciálisan kialakított címének felhasználásával. Bár a workflow-t„szinte azonnal” visszaállították a „master” branch-ben, miután kiderült, hogy rosszindulatú célokra is felhasználható, egy kiberszereplő feltehetően egy elavult branch-et célzó PR-t készített, amely még mindig tartalmazta a munkafolyamatot, hogy elindítsa a támadást.
Az érintett verziókat azóta eltávolították az npm registry-ből.
