Kebocoran S1ngularity: GitHub dan NPM terpengaruh 🚨
Investigasi terbaru terhadap serangan rantai pasokan yang dijuluki "s1ngularity" terhadap Nx mengungkapkan kebocoran kredensial besar-besaran: ribuan token akun dan rahasia repositori terekspos, dengan dampak yang menyebar di berbagai fase insiden. Laporan pasca-insiden dari Wiz mendokumentasikan cakupannya dan memberikan wawasan tentang bagaimana eksfiltrasi tersebut berkembang dan dampaknya. 🚨📊
Menurut penilaian yang diterbitkan oleh peneliti Wiz, pelanggaran tersebut mengakibatkan terungkapnya 2.180 akun dan 7.200 repositori dalam tiga fase berbeda, dengan banyak rahasia masih valid dan risiko kerusakan berkelanjutanDokumen ini memberikan rincian tentang linimasa, teknik penyerang, dan sifat rahasia yang bocor. 🔍📈
Serangan Rantai Pasokan Nx ⚠️🚀
Nx adalah sistem manajemen dan pembangunan repositori tunggal sumber terbuka yang banyak digunakan dalam ekosistem JavaScript/TypeScript skala perusahaan. Dengan jutaan unduhan mingguan di registri NPM, paket yang disusupi memiliki dampak yang luas pada berbagai integrasi dan alur pengembangan. ⚙️
Vektor kompromi dan tanggal insiden 📅
El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como perangkat lunak jahat extractor de credenciales en los sistemas afectados. 🔥
Cara kerja malware telemetry.js 🕵️♂️
El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository. Este patrón permitió al atacante centralizar y exponer la información robada. 🔐
Sumber: Wiz
Penyerang juga mengintegrasikan alat baris perintah untuk platform AI (misalnya, Claude, Q, dan Gemini) untuk mengotomatiskan pencarian dan pemanenan menggunakan perintah yang ditargetkan. Wiz mendokumentasikan bagaimana perintah tersebut berkembang selama serangan, mengoptimalkan ekstraksi dan menghindari penolakan model untuk instruksi tertentu, yang mencerminkan penyesuaian aktif aktor terhadap teknik LLM. ✨💡
Jangkauan dampak: radius kerusakan dan fase 📈🔥
Insiden ini berlangsung dalam tiga tahap. Tahap pertama, antara 26 dan 27 Agustus, versi Nx yang diretas secara langsung memengaruhi 1.700 pengguna dan membocorkan lebih dari 2.000 rahasia unik, selain mengekspos sekitar 20.000 berkas dari sistem yang terinfeksi. GitHub turun tangan, tetapi sebagian besar data telah terduplikasi.
- 🔹 Tahap 1 (26–27 Agustus): 1.700 pengguna terkena dampak, ~2.000 rahasia bocor, 20.000 file terganggu.
- 🔸 Tahap 2 (28–29 Agustus): Menggunakan token yang bocor untuk mengubah repositori pribadi menjadi repositori publik; 480 akun tambahan dibobol dan 6.700 repositori terekspos.
- 🔹 Tahap 3 (mulai 31 Agustus): serangan yang menargetkan organisasi korban menggunakan akun dikompromikan untuk dipublikasikan 500 repositori pribadi lainnya.
Pada fase kedua, para penyerang menggunakan token GitHub yang dicuri untuk menjadikan repositori privat publik dan mengganti namanya dengan string 's1ngularity', yang memperkuat risiko. Pada fase ketiga, target spesifik dieksploitasi untuk menerbitkan ratusan repositori privat tambahan, yang menunjukkan persistensi dan eskalasi penyerang. 🎯
Sumber: Wiz
Respons dan Mitigasi Proyek Nx 🔧✅
Tim Nx menerbitkan analisis akar permasalahan di GitHub yang menjelaskan bagaimana penyuntikan pada judul permintaan tarik dikombinasikan dengan penggunaan pull_request_target yang tidak aman memungkinkan kode arbitrer dieksekusi dengan izin yang ditingkatkan, yang memicu alur penerbitan dan memfasilitasi eksfiltrasi token penerbitan npm. 🛠️
Tindakan yang diterapkan meliputi penghapusan paket berbahaya, pencabutan dan rotasi token yang disusupi, serta penerapan autentikasi dua faktor untuk semua akun penerbit. Selain itu, Nx mengadopsi model Penerbit Tepercaya NPM dan menambahkan persetujuan manual untuk alur kerja yang dipicu oleh PR. 🔐📌
Tips cepat dan poin penting ✏️
- ✅ Tinjau dan putar token dan rahasia segera jika ada dugaan penyusupan.
- 📌 Hindari penggunaan pull_request_target yang tidak aman dan terapkan persetujuan manual pada alur yang sensitif.
- 🔧 Terapkan autentikasi multifaktor dan model penerbitan tepercaya seperti Trusted Publisher.
- ⚡ Pantau repositori publik dan lakukan pencarian rahasia otomatis untuk deteksi dini.
Mendefinisikan Cuplikan dan FAQ ✨
Apa itu telemetry.js?
telemetry.js adalah nama skrip pasca-instal berbahaya yang disertakan dalam versi paket Nx yang disusupi; skrip ini bertindak sebagai pencuri kredensial pada sistem Linux dan macOS untuk mengumpulkan dan mengekstraksi rahasia ke repositori publik yang dikendalikan oleh penyerang. 🔍
Berapa banyak akun dan repositori yang terpengaruh?
Menurut laporan Wiz, serangan tersebut mengekspos 2.180 akun dan 7.200 repositori selama tiga fase insiden yang terdokumentasi, dengan banyak rahasia yang masih valid dan risiko dampak yang berkelanjutan. 📊
46% de entornos presentaron kata sandi comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈
Laporan ini menyediakan metrik, rekomendasi, dan studi kasus untuk memperkuat pertahanan dan meningkatkan respons terhadap kebocoran rahasia.
