S1ngularity 필터링: 2,180개 계정과 7,200개 저장소.

Nx를 겨냥한 "s1ngularity"로 알려진 공급망 공격에 대한 최근 조사 결과, 대규모 인증 정보 유출이 드러났습니다. 수천 개의 계정 토큰과 저장소 비밀 정보가 유출되었으며, 이는 사건의 여러 단계에 걸쳐 영향을 미쳤습니다. Wiz의 사후 보고서는 사건의 범위를 기록하고 유출 과정과 그 영향에 대한 통찰력을 제공합니다. 🚨📊

Wiz 연구원들이 발표한 평가에 따르면, 이 침해로 인해 3단계에 걸쳐 2,180개 계정과 7,200개 저장소가 노출되었으며, 많은 비밀이 여전히 유효합니다. 지속적인 손상의 위험백서에서는 타임라인, 공격자의 기술, 유출된 비밀의 성격에 대한 세부 정보를 제공합니다. 🔍📈

Nx 공급망 공격 ⚠️🚀

Nx는 엔터프라이즈급 JavaScript/TypeScript 생태계에서 널리 사용되는 오픈소스 단일 저장소 빌드 및 관리 시스템입니다. NPM 레지스트리에서 매주 수백만 건의 다운로드가 발생하는 상황에서, 손상된 패키지는 수많은 통합 및 개발 파이프라인에 광범위한 영향을 미칩니다. ⚙️

침해 벡터 및 사고 날짜 📅

El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como 맬웨어 extractor de credenciales en los sistemas afectados. 🔥

telemetry.js 맬웨어의 작동 방식 🕵️‍♂️

El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository. Este patrón permitió al atacante centralizar y exponer la información robada. 🔐

공격자는 AI 플랫폼용 명령줄 도구(예: Claude, Q, Gemini)를 통합하여 특정 프롬프트를 사용하여 검색 및 수집을 자동화했습니다. Wiz는 공격 과정에서 프롬프트가 어떻게 진화하여 추출을 최적화하고 특정 명령에 대한 모델 거부를 우회했는지를 기록하고 있으며, 이는 공격자가 LLM 기법에 적극적으로 적응하고 있음을 보여줍니다. ✨💡

충격 범위: 데미지 반경 및 단계 📈🔥

이 사건은 세 단계로 진행되었습니다. 첫 번째 단계에서는 8월 26일과 27일 사이에 Nx의 손상된 버전이 1,700명의 사용자에게 직접적인 영향을 미치고 2,000개 이상의 고유 비밀을 유출했으며, 감염된 시스템에서 약 20,000개의 파일이 노출되었습니다. GitHub이 개입했지만, 대부분의 데이터는 이미 복제된 상태였습니다.

• 🔹 1단계(8월 26일~27일): 영향을 받은 사용자는 1,700명, 유출된 비밀은 약 2,000개, 손상된 파일은 20,000개입니다.
• 🔸 2단계(8월 28일~29일): 유출된 토큰을 이용해 개인 저장소를 공개 저장소로 변환했습니다. 480개의 추가 계정이 손상되었고 6,700개의 저장소가 노출되었습니다.
• 🔹 3단계(8월 31일부터): 피해자 조직을 표적으로 삼는 공격 게시하기 위해 손상된 계정 500개 이상의 개인 저장소.

두 번째 단계에서 공격자는 훔친 GitHub 토큰을 사용하여 비공개 저장소를 공개하고 's1ngularity' 문자열로 이름을 변경하여 노출을 증폭시켰습니다. 세 번째 단계에서는 특정 대상을 악용하여 수백 개의 추가 비공개 저장소를 게시함으로써 공격자의 지속성과 공격 확대를 입증했습니다. 🎯

Nx 프로젝트 대응 및 완화 🔧✅

Nx 팀은 GitHub에 근본 원인 분석을 게시했는데, 이 분석에서는 풀 리퀘스트 제목에 삽입된 내용과 pull_request_target의 안전하지 않은 사용이 어떻게 상승된 권한으로 임의의 코드를 실행하여 게시 파이프라인을 트리거하고 npm 게시 토큰의 유출을 용이하게 했는지 설명합니다. 🛠️

구현된 조치에는 악성 패키지 제거, 손상된 토큰 취소 및 순환, 모든 게시자 계정에 대한 2단계 인증 의무화 등이 포함되었습니다. 또한, Nx는 NPM의 신뢰할 수 있는 게시자 모델을 채택하고 PR 트리거 워크플로에 대한 수동 승인 기능을 추가했습니다. 🔐📌

간단한 팁과 핵심 포인트 ✏️

• ✅ 침해가 의심되는 경우 즉시 토큰과 비밀번호를 검토하고 교체하세요.
• 📌 pull_request_target의 안전하지 않은 사용을 피하고 민감한 흐름에 대해 수동 승인을 시행하세요.
• 🔧 다중 요소 인증 및 신뢰할 수 있는 게시자 등의 신뢰할 수 있는 게시 모델을 구현합니다.
• ⚡ 공개 저장소를 모니터링하고 조기 감지를 위해 자동화된 비밀 검색을 수행합니다.