「s1ngularity」供應鏈攻擊鎖定 Nx 開發工具 超過八成受感染系統為 macOS

廣受歡迎的開源建構平台 Nx 近日遭遇名為「s1ngularity」的大規模供應鏈攻擊。Nx 是一個 AI 優先的建構平台，連接從編輯器到持續整合的所有開發工具，每週下載量超過 350 萬次，深受軟體開發者喜愛。此次攻擊於 2025 年 8 月 26 日開始，成功竊取數千名開發者的重要資料。

這次攻擊屬於供應鏈攻擊手法。駭客將惡意程式碼植入廣泛使用的 Nx 軟體中，進而感染所有使用該軟體的用戶。受影響的 Nx 版本為 20.9.0 至 21.8.0。

由於 Nx 主要用於管理大型程式碼庫和多專案開發環境，特別是在 monorepo（單一儲存庫包含多個專案）管理方面扮演重要角色，因此成為攻擊者的理想目標。透過入侵這個核心開發工具，攻擊者能夠影響大量開發者的工作環境。

攻擊者的目標是竊取各種敏感資料，包括 GitHub token、npm 認證金鑰和 SSH 私密金鑰。這些資料等同於數位鑰匙，可提供攻擊者存取用戶帳戶和系統的權限。

值得注意的是，惡意軟體還特別鎖定熱門 AI 工具的 API 金鑰，包括 Gemini、Claude 和 Q。這顯示攻擊者已將焦點轉向新興技術領域。

除了竊取資料外，攻擊者還會安裝破壞性載荷。這些載荷會修改用戶端啟動檔案，導致會話當機。

macOS 用戶成主要受害者

根據資安公司 GitGuardian 的分析，85% 的受感染系統都是 macOS。這突顯了此次攻擊對開發者社群的特殊影響，因為許多軟體開發者都使用蘋果電腦進行工作。

有趣的是，GitGuardian 發現一個意外現象。在數百個被鎖定 AI 工具的系統中，許多 AI 用戶端竟然抵抗了惡意請求。這些 AI 工具會直接拒絕執行指令，或在回應時暗示自己察覺到異常要求。這種反應意外地形成了一道新的安全防線。

GitGuardian 的監控平台在追蹤 GitHub 公開活動時，發現攻擊者使用了 1,346 個儲存庫來存放竊取的資料。為了避免被發現，攻擊者在上傳前對竊取的資料進行雙重編碼。

實際數量遠超過十個公開可見的儲存庫，這是因為 GitHub 正在快速刪除其他遭濫用的儲存庫。研究人員分析這些儲存庫後發現，攻擊者總共竊取了 2,349 筆不同的機密資料。其中超過 1,000 筆在報告發布時依然有效，主要是 GitHub 和熱門 AI 平台的認證資訊。

開發者應立即採取行動

對於使用過 Nx 20.9.0 至 21.8.0 版本的用戶，最重要的步驟是立即假設他們的認證資料已經暴露。GitGuardian 已建立一項名為 HasMySecretLeaked 的免費服務，讓開發者可以檢查認證是否遭到入侵，而無需透露實際金鑰。

Nx 團隊也已採取補救措施，包括替換 npm 和 GitHub 令牌、審核組織內的 GitHub 和 npm 活動以尋找可疑行為，並更新 Nx 的發布權限，要求雙重認證或自動化驗證。

這起事件再次凸顯供應鏈攻擊威脅，特別是受歡迎的開發工具。開發者應定期檢查使用的工具和套件，並建立完善的認證管理機制，以降低類似攻擊的風險。

本文轉載自hackread.com。