Nx构建系统漏洞可能导致敏感数据泄露

知名构建系统Nx的多个软件包被发现存在供应链攻击漏洞,攻击者通过恶意代码注入窃取开发凭证、加密货币钱包等敏感数据,并利用AI助手工具进行数据收集和外泄,影响多个版本的系统安全性。

Nx构建系统漏洞可能导致敏感数据泄露

MS-ISAC 咨询编号: 2025-090
发布日期: 2025年9月25日

概述

在Nx(构建系统)软件包中发现了一个漏洞,可能导致敏感数据泄露。Nx是一个智能、快速且可扩展的构建系统,旨在通过提供依赖图分析、计算缓存、分布式任务执行和代码库升级等功能来高效管理单体仓库。成功利用此漏洞可能允许攻击者执行网络侦察并泄露敏感数据。

威胁情报

根据StepSecurity的信息:

  • 攻击者已成功将恶意代码注入Nx构建系统软件包和多个相关插件,以收集主机信息、加密货币钱包和开发凭证。
  • 受感染的Nx软件包包含一个恶意的安装后钩子,会触发名为telemetry.js的脚本。该脚本在软件包安装后立即执行,使攻击者能够大规模访问开发人员机器。
  • telemetry.js SHA-256:99018A87285B1CC9864248AE505ABDDF9C5021EAA66EA10E9CD462B685EDBA81
  • 此恶意软件专门针对非Windows系统。
  • 恶意软件滥用本地AI助手CLI(命令行界面)执行数据收集。
  • 数据收集完成后,恶意软件使用被盗的GitHub令牌创建一个名为s1ngularity-repository的公共GitHub仓库,将数据进行三重base64编码到results.64文件,然后将编码数据上传到该仓库。
  • 为了维持持久性并造成破坏,恶意软件会导致任何新的终端会话尝试立即系统关机,并为受影响的开发人员创建拒绝服务条件。

受影响系统

  • nx/devkit 21.5.0, 20.9.0
  • nx/enterprise 3.2.0
  • nx/eslint 21.5.0
  • nx/js 21.5.0, 20.9.0
  • nx/key 3.2.0
  • nx/node 21.5.0, 20.9.0
  • nx/workspace 21.5.0, 20.9.0

风险等级

政府机构:

  • 大型和中型政府实体:高
  • 小型政府实体:中

企业:

  • 大型和中型企业实体:高
  • 小型企业实体:中

家庭用户:

技术摘要

在Nx(构建系统)软件包中发现了一个漏洞,可能导致敏感数据泄露。漏洞详情如下:

战术: 初始访问(TA0001) 技术: 供应链攻击(T1195)

恶意代码被插入到Nx(构建系统)软件包和多个相关插件中。被篡改的软件包通过供应链攻击发布到npm软件注册表。受影响的版本包含扫描文件系统、收集凭证并将其作为仓库发布到用户GitHub账户下的代码。该恶意软件不仅窃取SSH密钥、npm令牌和.gitconfig文件,还利用AI CLI工具(包括Claude、Gemini和q)协助侦察和数据外泄。(CVE-2025-10894)

成功利用此漏洞可能允许攻击者执行网络侦察并泄露敏感数据。

建议措施

我们建议采取以下行动:

  • Stepsecurity.io建议立即采取以下修复步骤:

    1. 保护组织仓库:将任何暴露的组织仓库重新设为私有
    2. 隔离受影响的用户:在缓解此问题时将受影响的用户与组织断开连接
    3. 撤销受影响用户的所有访问令牌:在每个受影响用户的账户设置中,撤销:
      • 所有已安装的应用程序
      • 所有授权的应用程序
      • 所有OAuth令牌(特别是GitHub CLI令牌)
      • 所有SSH密钥
      • 所有GPG密钥
    4. 删除分叉仓库:从受影响的用户账户中删除任何可能包含敏感组织数据的分叉仓库
    5. 遵循全面修复:完成我们修复部分中概述的所有步骤,确保没有凭证仍然暴露

  • 在适当测试后立即应用Nx或其他使用此软件的供应商提供的适当更新到易受攻击的系统。(M1051:更新软件)

保障措施7.1: 建立和维护企业资产的漏洞管理流程 保障措施7.2: 建立和维护基于风险的修复策略 保障措施7.4: 执行自动化的应用程序补丁管理 保障措施7.5: 执行内部企业资产的自动化漏洞扫描 保障措施7.7: 修复检测到的漏洞 保障措施12.1: 确保网络基础设施是最新的 保障措施18.1: 建立和维护渗透测试计划 保障措施18.2: 执行定期的外部渗透测试 保障措施18.3: 修复渗透测试发现的问题

  • 使用漏洞扫描来查找可能可利用的软件漏洞并进行修复。(M1016:漏洞扫描)

保障措施16.1: 建立和维护安全的应用程序开发流程 保障措施16.2: 建立和维护接受和处理软件漏洞的流程 保障措施16.4: 建立和管理第三方软件组件的清单

参考资料

  • CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10894
  • StepSecurity:https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware#check-if-youre-impacted
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次