Kebocoran S1ngularity: GitHub dan NPM terpengaruh 🚨
Investigasi terbaru terhadap serangan rantai pasokan yang dijuluki "s1ngularity" terhadap Nx mengungkapkan kebocoran kredensial besar-besaran: ribuan token akun dan rahasia repositori terekspos, dengan dampak yang menyebar di berbagai fase insiden. Laporan pasca-insiden dari Wiz mendokumentasikan cakupannya dan memberikan wawasan tentang bagaimana eksfiltrasi tersebut berkembang dan dampaknya. 🚨📊
Menurut penilaian yang diterbitkan oleh peneliti Wiz, pelanggaran tersebut mengakibatkan terungkapnya 2.180 akun dan 7.200 repositori dalam tiga fase berbeda, dengan banyak rahasia masih valid dan risiko kerusakan berkelanjutanDokumen ini memberikan rincian tentang linimasa, teknik penyerang, dan sifat rahasia yang bocor. 🔍📈
Serangan Rantai Pasokan Nx ⚠️🚀
Nx adalah sistem manajemen dan pembangunan repositori tunggal sumber terbuka yang banyak digunakan dalam ekosistem JavaScript/TypeScript skala perusahaan. Dengan jutaan unduhan mingguan di registri NPM, paket yang disusupi memiliki dampak yang luas pada berbagai integrasi dan alur pengembangan. ⚙️
Vektor kompromi dan tanggal insiden 📅
Pada 26 Agustus 2025, penyerang mengeksploitasi alur kerja GitHub Actions yang rentan di repositori Nx untuk menerbitkan versi berbahaya paket tersebut ke NPM. Paket tersebut berisi skrip pasca-instal berbahaya bernama "telemetry.js" yang bertindak sebagai malware pengekstrak kredensial pada sistem yang terdampak. 🔥
Cara kerja malware telemetry.js 🕵️♂️
Malware telemetry.js bertindak sebagai pencuri kredensial di Linux dan macOS, mencoba mencuri token GitHub, token NPM, kunci SSH, berkas .env, dompet mata uang kripto, dan rahasia lainnya, lalu mengunggahnya ke repositori GitHub publik bernama "s1ngularity-repository." Pola ini memungkinkan penyerang untuk memusatkan dan mengekspos informasi yang dicuri. 🔐

Sumber: Wiz
Penyerang juga mengintegrasikan alat baris perintah untuk platform AI (misalnya, Claude, Q, dan Gemini) untuk mengotomatiskan pencarian dan pemanenan menggunakan perintah yang ditargetkan. Wiz mendokumentasikan bagaimana perintah tersebut berkembang selama serangan, mengoptimalkan ekstraksi dan menghindari penolakan model untuk instruksi tertentu, yang mencerminkan penyesuaian aktif aktor terhadap teknik LLM. ✨💡
Jangkauan dampak: radius kerusakan dan fase 📈🔥
Insiden ini berlangsung dalam tiga tahap. Tahap pertama, antara 26 dan 27 Agustus, versi Nx yang diretas secara langsung memengaruhi 1.700 pengguna dan membocorkan lebih dari 2.000 rahasia unik, selain mengekspos sekitar 20.000 berkas dari sistem yang terinfeksi. GitHub turun tangan, tetapi sebagian besar data telah terduplikasi.
- 🔹 Tahap 1 (26–27 Agustus): 1.700 pengguna terkena dampak, ~2.000 rahasia bocor, 20.000 file terganggu.
- 🔸 Tahap 2 (28–29 Agustus): Menggunakan token yang bocor untuk mengubah repositori pribadi menjadi repositori publik; 480 akun tambahan dibobol dan 6.700 repositori terekspos.
- 🔹 Tahap 3 (mulai 31 Agustus): serangan yang menargetkan organisasi korban menggunakan akun dikompromikan untuk dipublikasikan 500 repositori pribadi lainnya.
Pada fase kedua, para penyerang menggunakan token GitHub yang dicuri untuk menjadikan repositori privat publik dan mengganti namanya dengan string 's1ngularity', yang memperkuat risiko. Pada fase ketiga, target spesifik dieksploitasi untuk menerbitkan ratusan repositori privat tambahan, yang menunjukkan persistensi dan eskalasi penyerang. 🎯

Sumber: Wiz
Respons dan Mitigasi Proyek Nx 🔧✅
Tim Nx menerbitkan analisis akar permasalahan di GitHub yang menjelaskan bagaimana penyuntikan pada judul permintaan tarik dikombinasikan dengan penggunaan pull_request_target yang tidak aman memungkinkan kode arbitrer dieksekusi dengan izin yang ditingkatkan, yang memicu alur penerbitan dan memfasilitasi eksfiltrasi token penerbitan npm. 🛠️
Tindakan yang diterapkan meliputi penghapusan paket berbahaya, pencabutan dan rotasi token yang disusupi, serta penerapan autentikasi dua faktor untuk semua akun penerbit. Selain itu, Nx mengadopsi model Penerbit Tepercaya NPM dan menambahkan persetujuan manual untuk alur kerja yang dipicu oleh PR. 🔐📌
Tips cepat dan poin penting ✏️
- ✅ Tinjau dan putar token dan rahasia segera jika ada dugaan penyusupan.
- 📌 Hindari penggunaan pull_request_target yang tidak aman dan terapkan persetujuan manual pada alur yang sensitif.
- 🔧 Terapkan autentikasi multifaktor dan model penerbitan tepercaya seperti Trusted Publisher.
- ⚡ Pantau repositori publik dan lakukan pencarian rahasia otomatis untuk deteksi dini.
Mendefinisikan Cuplikan dan FAQ ✨
Apa itu telemetry.js?
telemetry.js adalah nama skrip pasca-instal berbahaya yang disertakan dalam versi paket Nx yang disusupi; skrip ini bertindak sebagai pencuri kredensial pada sistem Linux dan macOS untuk mengumpulkan dan mengekstraksi rahasia ke repositori publik yang dikendalikan oleh penyerang. 🔍
Berapa banyak akun dan repositori yang terpengaruh?
Menurut laporan Wiz, serangan tersebut mengekspos 2.180 akun dan 7.200 repositori selama tiga fase insiden yang terdokumentasi, dengan banyak rahasia yang masih valid dan risiko dampak yang berkelanjutan. 📊
461 lingkungan TP3T mengalami kebocoran kata sandi, hampir dua kali lipat dari 251 TP3T tahun sebelumnya. Dapatkan Laporan Picus Blue 2025 untuk analisis lengkap tentang pencegahan, deteksi, dan tren eksfiltrasi data. 📈
Laporan ini menyediakan metrik, rekomendasi, dan studi kasus untuk memperkuat pertahanan dan meningkatkan respons terhadap kebocoran rahasia.