新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
「s1ngularity」供應鏈攻擊鎖定 Nx 開發工具 超過八成受感染系統為 macOS
2025 / 08 / 29
編輯部
廣受歡迎的開源建構平台 Nx 近日遭遇名為「s1ngularity」的大規模供應鏈攻擊。Nx 是一個 AI 優先的建構平台,連接從編輯器到持續整合的所有開發工具,每週下載量超過 350 萬次,深受軟體開發者喜愛。此次攻擊於 2025 年 8 月 26 日開始,成功竊取數千名開發者的重要資料。
這次攻擊屬於供應鏈攻擊手法。駭客將惡意程式碼植入廣泛使用的 Nx 軟體中,進而感染所有使用該軟體的用戶。受影響的 Nx 版本為 20.9.0 至 21.8.0。
由於 Nx 主要用於管理大型程式碼庫和多專案開發環境,特別是在 monorepo(單一儲存庫包含多個專案)管理方面扮演重要角色,因此成為攻擊者的理想目標。透過入侵這個核心開發工具,攻擊者能夠影響大量開發者的工作環境。
攻擊者的目標是竊取各種敏感資料,包括 GitHub token、npm 認證金鑰和 SSH 私密金鑰。
這些資料等同於數位鑰匙,可提供攻擊者存取用戶帳戶和系統的權限。
值得注意的是,
惡意軟體還特別鎖定熱門 AI 工具的 API 金鑰,包括 Gemini、Claude 和 Q。這顯示攻擊者已將焦點轉向新興技術領域。
除了竊取資料外,攻擊者還會安裝破壞性載荷。這些載荷會修改用戶端啟動檔案,導致會話當機。
macOS 用戶成主要受害者
根據資安公司 GitGuardian 的分析,85% 的受感染系統都是 macOS。這突顯了此次攻擊對開發者社群的特殊影響,因為許多軟體開發者都使用蘋果電腦進行工作。
有趣的是,GitGuardian 發現一個意外現象。在數百個被鎖定 AI 工具的系統中,許多 AI 用戶端竟然抵抗了惡意請求。這些 AI 工具會直接拒絕執行指令,或在回應時暗示自己察覺到異常要求。這種反應意外地形成了一道新的安全防線。
GitGuardian 的監控平台在追蹤 GitHub 公開活動時,發現攻擊者使用了 1,346 個儲存庫來存放竊取的資料。為了避免被發現,攻擊者在上傳前對竊取的資料進行雙重編碼。
實際數量遠超過十個公開可見的儲存庫,這是因為 GitHub 正在快速刪除其他遭濫用的儲存庫。研究人員分析這些儲存庫後發現,攻擊者總共竊取了 2,349 筆不同的機密資料。其中超過 1,000 筆在報告發布時依然有效,主要是 GitHub 和熱門 AI 平台的認證資訊。
開發者應立即採取行動
對於使用過 Nx 20.9.0 至 21.8.0 版本的用戶,最重要的步驟是立即假設他們的認證資料已經暴露。GitGuardian 已建立一項名為 HasMySecretLeaked 的免費服務,讓開發者可以檢查認證是否遭到入侵,而無需透露實際金鑰。
Nx 團隊也已採取補救措施,包括替換 npm 和 GitHub 令牌、審核組織內的 GitHub 和 npm 活動以尋找可疑行為,並更新 Nx 的發布權限,要求雙重認證或自動化驗證。
這起事件再次凸顯供應鏈攻擊威脅,特別是受歡迎的開發工具。開發者應定期檢查使用的工具和套件,並建立完善的認證管理機制,以降低類似攻擊的風險。
本文轉載自hackread.com。
供應鏈攻擊
軟體供應鏈
API金鑰
最新活動
2026.07.22
2026 政府資安論壇
2026.08.13
2026 南科資安論壇
2026.07.23
防範 AI 資料外流:打造兼顧資安與生產力的管理策略
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
2026.07.30
亞洲晶片安全與CRA 國際研討會:下一代可信晶片安全
2026.08.26
Veeam 攜手 Power Admin,建構從備份、監控到快速復原的資料韌性,打造全方位混合雲數據防禦體系 (高雄場)
2026.08.28
HCL AppScan 應用程式安全檢測實作班
看更多活動
大家都在看
黃隊崛起!AI資安攻防新增第三股力量
從法遵到實戰:台灣AI風險分類框架與ISO國際標準的治理共鳴
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
OAuth Client ID偽造技術興起:新手法鎖定雲端環境行隱密帳號列舉
風險驅動治理:ISO 27005如何協助台灣A級機關與金融業資安合規
資安人科技網
文章推薦
SAP 7月安全性更新修補3項重大漏洞,NetWeaver ABAP現CVSS 9.9高危弱點
Microsoft 2026 年 7 月 Patch Tuesday 修補逾 570 項漏洞,含兩項已遭利用零日漏洞
AWS 攜手 Anthropic 推出 Claude apps gateway for AWS,企業可集中控管 Claude Code 存取與支出