Основы Интернет - технологий.

По данным специалистов компании Wiz, которые изучили недавнюю атаку s1ngularity, нацеленную на NX, инцидент привел к масштабным последствиям. Взлом NX спровоцировал раскрытие данных 2180 учетных записей и затронул 7200 репозиториев.

В своем отчете исследователи подчеркивают, что многие из скомпрометированных секретов по-прежнему актуальны.

NX — популярная опенсорсная платформа для сборки, которая помогает управлять кодом в больших проектах. Она позиционируется как «платформа для сборки с приоритетом на ИИ, которая объединяет в себе все — от редактора до CI». NX широко применяется в экосистемах jаvascript/TypeScript корпоративного уровня.

Напомним, что в конце августа злоумышленники воспользовались уязвимостью workflow GitHub Actions в репозитории NX, чтобы опубликовать вредоносную версию пакета в npm, которая содержала вредоносный скрипт, срабатывавший после установки (telemetry.js).

Малварь представляла собой инфостилер, нацеленный на системы под управлением Linux и macOS. Она стремилась похитить токены GitHub и npm, ключи SSH, файлы .env и данные криптокошельков. Собранная информация загружалась в публичные репозитории на GitHub, в имени которых содержалась строка s1ngularity-repository (или s1ngularity-repository-0 и s1ngularity-repository-1).

Интересной особенностью этой атаки было то, что инцидент стал первым известным случаем, когда злоумышленники превратили ИИ-инструменты командной строки (Claude, Google Gemini и Amazon Q) в орудие для эксплуатации цепочки поставок и использовали их для обхода средств защиты.

Злоумышленники использовали ИИ для поиска и сбора конфиденциальных учетных данных и секретов. При этом аналитики Wiz пишут, что промпты менялись при каждой итерации атаки, то есть злоумышленники настраивали их для достижения большей эффективности.

Команда NX опубликовала на GitHub подробный анализ первопричин инцидента. Разработчики объяснили, что взлом произошел через уязвимый workflow, который позволял внедрять исполняемый код через специально подготовленный заголовок pull request'а.

Специалисты Wiz подсчитали, что на первом этапе атаки (с 26 по 27 августа 2025 года), зараженные стилером пакеты NX напрямую затронули 1700 пользователей, что привело к утечке более 2000 уникальных секретов. Кроме того, в результате атаки были раскрыты 20 000 файлов из зараженных систем.

Отмечается, что во время первой фазы атаки в пакеты NX было внедрено не менее трех различных полезных нагрузок.

На происходящее отреагировали специалисты GitHub, через восемь часов удалив репозитории, созданные злоумышленниками. Однако этого времени хватило, чтобы похитить данные.

С 28 по 29 августа атака вошла во вторую фазу: злоумышленники использовали похищенные токены GitHub, чтобы сделать приватные репозитории публичными, переименовывая их по шаблону s1ngularity-repository-#5символов#.

Это привело к дальнейшей компрометации еще 480 учетных записей, большинство из которых принадлежали организациям, а также к раскрытию информации из 6700 приватных репозиториев.

На третьем этапе атаки, который начался 31 августа, злоумышленники нацелились на некую неназванную организацию. Хакеры использовали две скомпрометированные ранее учетные записи для обнародования еще 500 приватных репозиториев. Пострадавшие репозитории имели приставку _bak в имени и содержали строку s1ngularity в описании.

Эксперты полагают, что общее число пользователей, загрузивших вредоносные версии NX и запустивших вредоносное ПО на своих машинах, вероятно, намного превосходит приведенные выше цифры.

Более того, около 100 уникальных токенов npm (более 40% всех токенов, украденных на первом этапе атаки) по-прежнему активны. В то же время активными остаются лишь 5% скомпрометированных токенов GitHub.