🌍 Привет мир! 👋🏻
TL;DR
- Nx пакеты в npm были скомпрометированы 26 августа 2025
- Вредоносные версии воровали токены GitHub, SSH-ключи и криптокошельки
- Атака через post-install-скрипты в версиях 20.9.0–20.12.0, 21.5.0–21.8.0
- Данные уходили в публичный репозиторий s1ngularity-repository
- GitHub отключил репозитории злоумышленников 27 ав…
🌍 Привет мир! 👋🏻
Только только я написал про life cycle scripts в пакетных менеджерах и угрозах которые они в себе несут, и тут бац, айтишное сообщество взбудоражено 😆, но к сожалению взбудоражено не моим постом 😭, а тем, что произошел серьезный инцидент по безопасности.
Кому не хватало кликабельного названия, то вот оно - Все в огне 🔥! NX нас подставил, а мы ему доверяли!
🔈 Ну что же други, рассказываю то, что накопал из открытых источников, сцылочки будут ниже.
Проблема не нова, происходит это постоянно и на этот раз проблема возникла с пакетами Nx, 26 августа 2025 года.
Вредоносные версии пакетов опубликовались в npm, и после установки, незаметно похищались конфиденциальные данные разработчиков, такие как токены GitHub, ключи SSH, учетные данные npm и даже криптокошельки 💸.
В одно прекрасное утро некоторые пользователи увидали у себя на GitHub загадочный репозиторий с названием “s1ngularity-repository”.
Может быть злоумышленники были вдохновлены просмотром фильма “Интерстеллар” ?
@Кристофер Нолан свяжитесь со мной, отработано 👋.
Более подробно можно почитать в других постах (ссылки ниже) ⬇️, но если кратко угроза распаковалась с помощью
Угроза была направлена на Linux and macOS машинки, ну что виндусята наконец-то на вашей улице праздник 🥳.
Cобирались все возможные секреты, в том числе и с использованием
27 августа в 9 утра, GitHub отключил подконтрольные злоумышленникам репозитории, но к сожалению тысячи секретов, вероятно, уже были раскрыты 🥺. Проверьте свои компуктеры на наличие гадостей.
C приходом новых AI технологий приходят и новые угрозы. Всем пис и закрытых енвов 😮💨.
Более подробно можно почитать тут и тут.
💬 Делитесь своим мнением в комментариях👇! Если вам понравилась статья, не забудьте поставить лайк! 👍
#SECURITY #PNPM #NPM
Только только я написал про life cycle scripts в пакетных менеджерах и угрозах которые они в себе несут, и тут бац, айтишное сообщество взбудоражено 😆, но к сожалению взбудоражено не моим постом 😭, а тем, что произошел серьезный инцидент по безопасности.
Кому не хватало кликабельного названия, то вот оно - Все в огне 🔥! NX нас подставил, а мы ему доверяли!
🔈 Ну что же други, рассказываю то, что накопал из открытых источников, сцылочки будут ниже.
Проблема не нова, происходит это постоянно и на этот раз проблема возникла с пакетами Nx, 26 августа 2025 года.
Вредоносные версии пакетов опубликовались в npm, и после установки, незаметно похищались конфиденциальные данные разработчиков, такие как токены GitHub, ключи SSH, учетные данные npm и даже криптокошельки 💸.
В одно прекрасное утро некоторые пользователи увидали у себя на GitHub загадочный репозиторий с названием “s1ngularity-repository”.
Может быть злоумышленники были вдохновлены просмотром фильма “Интерстеллар” ?
@Кристофер Нолан свяжитесь со мной, отработано 👋.
Более подробно можно почитать в других постах (ссылки ниже) ⬇️, но если кратко угроза распаковалась с помощью
post-install скрипта (ага да, я как раз про это и говорил, опасненько), выполненной при установке сборки nx с версиями (20.9.0–20.12.0, 21.5.0–21.8.0).Угроза была направлена на Linux and macOS машинки, ну что виндусята наконец-то на вашей улице праздник 🥳.
Cобирались все возможные секреты, в том числе и с использованием
AI tools которые были у пользователей. Далее данные были закодированы с помощью двойного или тройного base64 и в выше сказанный, публичный, репозиторий уходили данные.27 августа в 9 утра, GitHub отключил подконтрольные злоумышленникам репозитории, но к сожалению тысячи секретов, вероятно, уже были раскрыты 🥺. Проверьте свои компуктеры на наличие гадостей.
C приходом новых AI технологий приходят и новые угрозы. Всем пис и закрытых енвов 😮💨.
Более подробно можно почитать тут и тут.
💬 Делитесь своим мнением в комментариях👇! Если вам понравилась статья, не забудьте поставить лайк! 👍
#SECURITY #PNPM #NPM
Хотите больше таких постов?
Подпишитесь на канал и читайте продолжение в Telegram.