{"id":67581,"date":"2025-09-06T19:54:30","date_gmt":"2025-09-06T22:54:30","guid":{"rendered":"https:\/\/mastertrend.info\/?p=67581"},"modified":"2026-01-21T01:05:13","modified_gmt":"2026-01-21T04:05:13","slug":"singularitatsfiltration-2","status":"publish","type":"post","link":"https:\/\/mastertrend.info\/de\/filtracion-s1ngularity\/","title":{"rendered":"S1ngularity-Filterung: 2.180 Accounts und 7.200 Repos."},"content":{"rendered":"<h2>S1ngularity-Leck: GitHub und NPM betroffen \ud83d\udea8<\/h2>\n<div>\n<p style=\"text-align: center\"><img decoding=\"async\" src=\"https:\/\/mastertrend.info\/wp-content\/uploads\/2025\/09\/Malware-impulsado-por-IA-afecto-a-2180-cuentas-de-GitHub.jpg\" alt=\"GitHub \u2013 Abbildung im Zusammenhang mit Token- und Geheimnislecks\" width=\"1600\" height=\"900\" title=\"\"><\/p>\n<p>J\u00fcngste Untersuchungen des Supply-Chain-Angriffs \u201es1ngularity\u201c gegen Nx haben ein massives Leck an Anmeldeinformationen aufgedeckt: Tausende von Konto-Token und Repository-Geheimnissen wurden offengelegt, was sich \u00fcber mehrere Phasen des Vorfalls auswirkte. Ein Bericht von Wiz nach dem Vorfall dokumentiert das Ausma\u00df und gibt Einblicke in den Verlauf und die Auswirkungen der Exfiltration. \ud83d\udea8\ud83d\udcca<\/p>\n<p>Laut der von Wiz-Forschern ver\u00f6ffentlichten Bewertung f\u00fchrte der Versto\u00df zur Offenlegung von 2.180 Konten und 7.200 Repositories in drei verschiedenen Phasen, wobei viele Geheimnisse noch g\u00fcltig waren und <a title=\"Chrome Sync 2025 aktualisieren: So bleibt Ihr Browser sicher.\" href=\"https:\/\/mastertrend.info\/de\/chrome-sync-update-2025\/\" target=\"_blank\" rel=\"noopener\" data-wpil-monitor-id=\"6389\">Gefahr weiterer Sch\u00e4den<\/a>Das Whitepaper enth\u00e4lt Einzelheiten zum Zeitplan, den Techniken des Angreifers und der Art der durchgesickerten Geheimnisse. \ud83d\udd0d\ud83d\udcc8<\/p>\n<h2>Der Nx-Lieferkettenangriff \u26a0\ufe0f\ud83d\ude80<\/h2>\n<p>Nx ist ein Open-Source-Build- und Verwaltungssystem mit einem einzigen Repository, das in unternehmensweiten JavaScript\/TypeScript-\u00d6kosystemen weit verbreitet ist. Mit Millionen von w\u00f6chentlichen Downloads im NPM-Register hat ein kompromittiertes Paket weitreichende Auswirkungen auf zahlreiche Integrationen und Entwicklungspipelines. \u2699\ufe0f<\/p>\n<h3>Kompromittierungsvektor und Vorfalldatum \ud83d\udcc5<\/h3>\n<p>El 26 de agosto de 2025, el actor malicioso explot\u00f3 un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versi\u00f3n maliciosa del paquete en NPM. El paquete inclu\u00eda un script post-install malicioso llamado \u00abtelemetry.js\u00bb que actu\u00f3 como <a class=\"wpil_keyword_link\" href=\"https:\/\/mastertrend.info\/de\/ransomware-und-malware-auf-android\/\" target=\"_blank\"  rel=\"noopener\" title=\"Ransomware und Malware auf Android: Ein einfacher Leitfaden zum Schutz vor Ransomware und Malware\" data-wpil-keyword-link=\"linked\"  data-wpil-monitor-id=\"33585\">Malware<\/a> extractor de credenciales en los sistemas afectados. \ud83d\udd25<\/p>\n<h3>So funktioniert die Telemetry.js-Malware \ud83d\udd75\ufe0f\u200d\u2642\ufe0f<\/h3>\n<p>El malware telemetry.js actu\u00f3 como un ladr\u00f3n de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios p\u00fablicos de GitHub nombrados \u00abs1ngularity-repository. Este patr\u00f3n permiti\u00f3 al atacante centralizar y exponer la informaci\u00f3n robada. \ud83d\udd10<\/p>\n<div style=\"text-align: center\">\n<figure class=\"image\"><img decoding=\"async\" src=\"https:\/\/mastertrend.info\/wp-content\/uploads\/2025\/09\/1757188361_133_Malware-impulsado-por-IA-afecto-a-2180-cuentas-de-GitHub.jpg\" alt=\"Prompt LLM wird zum Auffinden und Stehlen von Anmeldeinformationen und Geheimnissen verwendet\" width=\"1488\" height=\"600\" title=\"\"><figcaption><strong>Fordern Sie LLM auf, Anmeldeinformationen und andere Geheimnisse zu finden und zu exfiltrieren<\/strong><br \/>\n<em>Quelle: Wiz<\/em><\/figcaption><\/figure>\n<\/div>\n<p>Der Angreifer integrierte zudem Kommandozeilentools f\u00fcr KI-Plattformen (z. B. Claude, Q und Gemini), um die Suche und Datensammlung mithilfe gezielter Eingabeaufforderungen zu automatisieren. Wiz dokumentiert, wie sich die Eingabeaufforderung w\u00e4hrend des Angriffs weiterentwickelte, die Extraktion optimierte und Modellablehnungen f\u00fcr bestimmte Anweisungen umging. Dies spiegelt die aktive Einbindung des Angreifers in LLM-Techniken wider. \u2728\ud83d\udca1<\/p>\n<h2>Aufprallreichweite: Schadensradius und Phasen \ud83d\udcc8\ud83d\udd25<\/h2>\n<p>Der Vorfall verlief in drei Phasen. In der ersten Phase, zwischen dem 26. und 27. August, betrafen kompromittierte Versionen von Nx 1.700 Benutzer direkt und gaben mehr als 2.000 einzigartige Geheimnisse preis. Zudem wurden rund 20.000 Dateien aus infizierten Systemen offengelegt. GitHub griff ein, doch ein Gro\u00dfteil der Daten war bereits dupliziert.<\/p>\n<ul>\n<li>\ud83d\udd39 <strong>Phase 1 (26.\u201327. August):<\/strong> 1.700 Benutzer betroffen, ~2.000 durchgesickerte Geheimnisse, 20.000 kompromittierte Dateien.<\/li>\n<li>\ud83d\udd38 <strong>Phase 2 (28.\u201329. August):<\/strong> Durch die Verwendung durchgesickerter Token wurden private Repositories in \u00f6ffentliche umgewandelt; 480 weitere Konten wurden kompromittiert und 6.700 Repositories offengelegt.<\/li>\n<li>\ud83d\udd39 <strong>Phase 3 (ab 31. August):<\/strong> Angriff auf eine Opferorganisation mit <a title=\"Sch\u00fctzen Sie Ihren PC in \u00f6ffentlichen WLAN-Netzwerken: Leitfaden f\u00fcr 2025\" href=\"https:\/\/mastertrend.info\/de\/offentliche-wi-fi-netzwerke\/\" target=\"_blank\" rel=\"noopener\" data-wpil-monitor-id=\"6388\">Konten kompromittiert, um zu ver\u00f6ffentlichen<\/a> 500 weitere private Repositories.<\/li>\n<\/ul>\n<p>In der zweiten Phase nutzten die Angreifer gestohlene GitHub-Token, um private Repositories \u00f6ffentlich zu machen und sie mit der Zeichenfolge \u201es1ngularity\u201c umzubenennen, wodurch die Angriffsfl\u00e4che noch gr\u00f6\u00dfer wurde. In der dritten Phase wurde ein bestimmtes Ziel ausgenutzt, um Hunderte weiterer privater Repositories zu ver\u00f6ffentlichen, was die Hartn\u00e4ckigkeit und Eskalation des Angreifers demonstrierte. \ud83c\udfaf<\/p>\n<div style=\"text-align: center\">\n<figure class=\"image\"><img decoding=\"async\" src=\"https:\/\/mastertrend.info\/wp-content\/uploads\/2025\/09\/1757188361_498_Malware-impulsado-por-IA-afecto-a-2180-cuentas-de-GitHub.jpg\" alt=\"\u00dcberblick \u00fcber den Angriff und seine Auswirkungen\" width=\"1100\" height=\"600\" title=\"\"><figcaption><strong>Visuelle Zusammenfassung des S1ngularity-Angriffs<\/strong><br \/>\n<em>Quelle: Wiz<\/em><\/figcaption><\/figure>\n<\/div>\n<h2>Nx-Projektreaktion und -minderung \ud83d\udd27\u2705<\/h2>\n<p>Das Nx-Team hat auf GitHub eine Ursachenanalyse ver\u00f6ffentlicht, in der erkl\u00e4rt wird, wie eine Injektion im Titel eines Pull Requests in Kombination mit der unsicheren Verwendung von pull_request_target die Ausf\u00fchrung von beliebigem Code mit erh\u00f6hten Berechtigungen erm\u00f6glichte, wodurch die Ver\u00f6ffentlichungspipeline ausgel\u00f6st und die Exfiltration des NPM-Ver\u00f6ffentlichungstokens erleichtert wurde. \ud83d\udee0\ufe0f<\/p>\n<p>Zu den implementierten Ma\u00dfnahmen geh\u00f6rten das Entfernen sch\u00e4dlicher Pakete, das Widerrufen und Rotieren kompromittierter Token sowie die Einf\u00fchrung einer Zwei-Faktor-Authentifizierung f\u00fcr alle Publisher-Konten. Dar\u00fcber hinaus \u00fcbernahm Nx das Trusted Publisher-Modell von NPM und f\u00fcgte die manuelle Genehmigung f\u00fcr PR-ausgel\u00f6ste Workflows hinzu. \ud83d\udd10\ud83d\udccc<\/p>\n<h3>Kurztipps und wichtige Punkte \u270f\ufe0f<\/h3>\n<ul>\n<li>\u2705 \u00dcberpr\u00fcfen und rotieren Sie Token und Geheimnisse sofort, wenn ein Kompromiss vermutet wird.<\/li>\n<li>\ud83d\udccc Vermeiden Sie die unsichere Verwendung von pull_request_target und erzwingen Sie manuelle Genehmigungen f\u00fcr sensible Flows.<\/li>\n<li>\ud83d\udd27 Implementieren Sie Multi-Faktor-Authentifizierung und vertrauensw\u00fcrdige Ver\u00f6ffentlichungsmodelle wie Trusted Publisher.<\/li>\n<li>\u26a1 \u00dcberwachen Sie \u00f6ffentliche Repositories und f\u00fchren Sie automatisierte geheime Suchen zur Fr\u00fcherkennung durch.<\/li>\n<\/ul>\n<section>\n<h3>Snippets und FAQs definieren \u2728<\/h3>\n<h4>Was ist telemetry.js?<\/h4>\n<p>telemetry.js ist der Name des b\u00f6sartigen Post-Install-Skripts, das in der kompromittierten Version des Nx-Pakets enthalten war. Es fungierte als Anmeldeinformationsdieb auf Linux- und macOS-Systemen, um Geheimnisse zu sammeln und in vom Angreifer kontrollierte \u00f6ffentliche Repositories zu exfiltrieren. \ud83d\udd0d<\/p>\n<h4>Wie viele Konten und Repositories waren betroffen?<\/h4>\n<p>Laut Wiz\u2018 Bericht wurden durch den Angriff in den drei dokumentierten Phasen des Vorfalls 2.180 Konten und 7.200 Repositories offengelegt, wobei viele Geheimnisse noch g\u00fcltig waren und das Risiko anhaltender Auswirkungen bestand. \ud83d\udcca<\/p>\n<\/section>\n<div class=\"ia_ad\">\n<div class=\"ia_rig\">\n<p>46% de entornos presentaron <a class=\"wpil_keyword_link\" href=\"https:\/\/mastertrend.info\/de\/google-chrome-passworter\/\" target=\"_blank\"  rel=\"noopener\" title=\"Google Chrome-Passw\u00f6rter: Beheben Sie das Problem jetzt ganz einfach! \u26a1\ufe0f\ud83d\udd27\" data-wpil-keyword-link=\"linked\"  data-wpil-monitor-id=\"34437\">contrase\u00f1as<\/a> comprometidas, casi el doble respecto al 25% del a\u00f1o anterior. Obt\u00e9n el Picus Blue Report 2025 para un an\u00e1lisis completo sobre prevenci\u00f3n, detecci\u00f3n y tendencias en exfiltraci\u00f3n de datos. \ud83d\udcc8<\/p>\n<p>Der Bericht enth\u00e4lt Kennzahlen, Empfehlungen und Fallstudien zur St\u00e4rkung der Abwehr und Verbesserung der Reaktion auf geheime Lecks.<\/p>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>s1ngularity-Leck: telemetry.js hat Tokens, SSH-Schl\u00fcssel und .env-Dateien gestohlen; Geheimnisse wurden in \u00f6ffentliche Repositories hochgeladen.<\/p>","protected":false},"author":1,"featured_media":67790,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ai_generated_summary":"","iawp_total_views":26,"jnews-multi-image_gallery":[],"jnews_single_post":{"format":"standard","override":[{"template":"1","parallax":"1","fullscreen":"1","layout":"right-sidebar","sidebar":"default-sidebar","second_sidebar":"default-sidebar","sticky_sidebar":"1","share_position":"top","share_float_style":"share-monocrhome","show_share_counter":"1","show_view_counter":"1","show_featured":"1","show_post_meta":"1","show_post_author":"1","show_post_author_image":"1","show_post_date":"1","post_date_format":"default","post_date_format_custom":"Y\/m\/d","show_post_category":"1","show_post_reading_time":"1","post_reading_time_wpm":"300","post_calculate_word_method":"str_word_count","show_zoom_button":"1","zoom_button_out_step":"2","zoom_button_in_step":"3","show_post_tag":"1","show_prev_next_post":"1","show_popup_post":"1","number_popup_post":"1","show_author_box":"1","show_post_related":"0","show_inline_post_related":"0","show_comment_section":"1"}],"image_override":[{"single_post_thumbnail_size":"crop-500","single_post_gallery_size":"crop-500"}],"trending_post_position":"meta","trending_post_label":"Trending","sponsored_post_label":"Sponsored by","disable_ad":"0","subtitle":""},"jnews_primary_category":[],"jnews_social_meta":[],"jnews_review":[],"enable_review":"","type":"percentage","name":"","summary":"","brand":"","sku":"","good":[],"bad":[],"score_override":"","override_value":"","rating":[],"price":[],"jnews_override_counter":{"view_counter_number":"0","share_counter_number":"0","like_counter_number":"0","dislike_counter_number":"0"},"footnotes":""},"categories":[308],"tags":[1639,1445,1425],"class_list":["post-67581","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-ciberseguridad","tag-evergreencontent","tag-malware"],"_links":{"self":[{"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/posts\/67581","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/comments?post=67581"}],"version-history":[{"count":44,"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/posts\/67581\/revisions"}],"predecessor-version":[{"id":105480,"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/posts\/67581\/revisions\/105480"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/media\/67790"}],"wp:attachment":[{"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/media?parent=67581"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/categories?post=67581"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mastertrend.info\/de\/wp-json\/wp\/v2\/tags?post=67581"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}