Хакеры взломали топового разработчика Nx — лидера NPM-экосистемы с 24 млн загрузок

NPM Nx Fortune 500 взлом кибератака вредонос малварь NPM-токен StepSecurity
Хакеры взломали топового разработчика Nx — лидера NPM-экосистемы с 24 млн загрузок
NPM Nx Fortune 500 взлом кибератака вредонос малварь NPM-токен StepSecurity

Украдено более 1000 GitHub-токенов, пострадали 70% Fortune 500.

image

Экосистема NPM столкнулась с новой атакой на цепочку поставок: объектом стал проект Nx, в репозиторий которого во вторник вечером были загружены несколько вредоносных версий пакетов.

По данным исследователей из Wiz , эти пакеты содержали малварь, предназначенную для кражи секретов разработчиков — GitHub- и NPM-токенов, SSH-ключей и данных криптовалютных кошельков.

В опубликованном на GitHub руководстве команда Nx уточнила, что успешная компрометация приводила к публикации украденных учётных данных в виде новых публичных репозиториев от имени соответствующих пользователей.

При заявленных 24 миллионах загрузок NPM-пакетов Nx в месяц успешная атака теоретически могла затронуть огромное количество разработчиков. «С учётом популярности экосистемы Nx и факта злоупотребления инструментами ИИ, этот инцидент показывает растущую сложность атак на цепочку поставок», — отметил сооснователь StepSecurity Ашиш Курми . По его словам, крайне важно немедленно принять меры тем, кто установил скомпрометированные версии.

В Wiz также сообщают, что репозитории с украденными данными оставались доступными для скачивания около восьми часов, пока GitHub не заблокировал их. Как именно злоумышленник получил доступ к NPM-аккаунту Nx, пока неясно. По предварительным данным, был скомпрометирован токен с правами публикации. При этом у всех сопровождающих проекта была включена двухфакторная аутентификация, но она не требовалась для публикации версий, а контроль вёлся только с помощью механизма проверки подлинности публикаций.

Nx подчёркивает, что их платформой пользуются более 70% компаний из списка Fortune 500. Однако проект не сообщил, сколько именно пользователей могло пострадать. Wiz в комментарии изданию The Register заявила, что утечка включала более 1000 действующих GitHub-токенов, около 20 000 файлов, десятки учётных данных для облаков и NPM-токенов.

Согласно опубликованной временной шкале, вредоносные пакеты начали загружаться в NPM 26 августа в 22:32 UTC, последующие загрузки продолжались более двух часов. В 02:58 UTC NPM был уведомлён о проблеме и менее чем через час удалил все скомпрометированные версии.

Пострадавшим пользователям рекомендуется связаться с командой поддержки Nx, которая поможет определить, какие именно данные могли оказаться скомпрометированы.

И хотя в истории NPM уже было множество подобных неприятностей, у нынешнего инцидента есть уникальная особенность. Ашиш Курми указал, что злоумышленники впервые злоупотребили локально установленными CLI-инструментами генеративного ИИ, такими как Claude, Gemini и Q, чтобы обойти защитные механизмы. Малварь заставляла эти утилиты сканировать файловую систему и сохранять найденные пути к чувствительным данным в файл /tmp/inventory.txt, превращая легитимные инструменты в соучастников преступления.

Аналитик компании Aikido Чарли Эриксен также подтвердил, что впервые видит подобную технику, и отметил, что это может быть признаком того, как в будущем злоумышленники будут адаптировать свои методы. По его словам, помимо сбора данных вредоносные пакеты добавляли в файлы запуска команду на выключение системы, из-за чего компьютеры жертв оказывались выключенными при входе в систему. «Вероятно, именно эта команда позволила быстро заметить проблему и ограничила масштаб атаки», — считает эксперт.

Эриксен добавил, что публикация украденных данных в открытом доступе ещё больше усугубила ситуацию, поскольку GitHub- и NPM-токены попали в руки других злоумышленников. «Реальна угроза того, что это была только первая волна, и впереди новые инциденты. Мы продолжаем активно мониторить ситуацию», — подчеркнул он.