• O nas
  • Ogłaszać
  • Polityka prywatności
  • Skontaktuj się z nami
Wiadomości MasterTrend
  • DOM
    • BLOG
    • SKLEP
  • Samouczki
  • Sprzęt komputerowy
  • Hazard
  • Telefony komórkowe
  • Bezpieczeństwo
  • Okna
  • Sztuczna inteligencja
  • Oprogramowanie
  • Sieci
  • Aktualności
  • Polish Polish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Brak wyniku
Zobacz wszystkie wyniki
  • DOM
    • BLOG
    • SKLEP
  • Samouczki
  • Sprzęt komputerowy
  • Hazard
  • Telefony komórkowe
  • Bezpieczeństwo
  • Okna
  • Sztuczna inteligencja
  • Oprogramowanie
  • Sieci
  • Aktualności
  • Polish Polish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Brak wyniku
Zobacz wszystkie wyniki
Wiadomości MasterTrend
Brak wyniku
Zobacz wszystkie wyniki
Start Bezpieczeństwo

Wyciek s1ngularity: 2180 kont i 7200 repozytoriów.

Wgląd w MasterTrend przez Wgląd w MasterTrend
6 września 2025
W Bezpieczeństwo
Czas czytania:Lectura de 4 minutos
DO DO
0
Wyciek s1ngularity - logo GitHub na czerwonym tle; alert bezpieczeństwa dotyczący wycieku s1ngularity wpływającego na GitHub i NPM, narażającego repozytoria programistów na ryzyko.

Wyciek s1ngularity: GitHub i NPM zostały zaatakowane. Cyberatak może naruszyć repozytoria i pakiety; unieważnić tokeny, zweryfikować commity i zaktualizować zależności za pomocą uwierzytelniania dwuskładnikowego (2FA), aby chronić Twoje projekty.

6
WSPÓLNY
18
Widoki
Udostępnij na FacebookuUdostępnij na Twitterze

Zawartość

  1. Wyciek S1ngularity: GitHub i NPM zagrożone 🚨
  2. Atak na łańcuch dostaw NX ⚠️🚀
    1. Wektor zagrożenia i data incydentu 📅
    2. Jak działa złośliwe oprogramowanie telemetry.js 🕵️‍♂️
  3. Zasięg uderzenia: promień i fazy obrażeń 📈🔥
  4. Reakcja i łagodzenie skutków projektu Nx 🔧✅
    1. Szybkie porady i najważniejsze punkty ✏️
    2. Definiowanie fragmentów kodu i FAQ ✨
    3. Powiązane posty

Wyciek S1ngularity: GitHub i NPM zagrożone 🚨

GitHub — ilustracja związana z wyciekiem tokenów i sekretów

Niedawne śledztwa w sprawie ataku na łańcuch dostaw, nazwanego „s1ngularity”, na Nx, ujawniły ogromny wyciek danych uwierzytelniających: ujawniono tysiące tokenów kont i sekretów repozytoriów, co miało konsekwencje w wielu fazach incydentu. Raport Wiz po incydencie dokumentuje zakres incydentu i dostarcza informacji o przebiegu i skutkach wycieku. 🚨📊

Według oceny opublikowanej przez badaczy Wiz naruszenie spowodowało ujawnienie 2180 kont i 7200 repozytoriów w trzech odrębnych fazach, przy czym wiele tajemnic nadal pozostaje ważnych i ryzyko dalszych uszkodzeńW dokumencie tym zawarto szczegółowe informacje na temat chronologii zdarzeń, technik stosowanych przez atakujących oraz charakteru ujawnionych tajemnic. 🔍📈

Atak na łańcuch dostaw NX ⚠️🚀

Nx to system kompilacji i zarządzania typu open source z jednym repozytorium, szeroko stosowany w ekosystemach JavaScript/TypeScript na skalę korporacyjną. Przy milionach pobrań tygodniowo w rejestrze NPM, skompromitowany pakiet ma daleko idący wpływ na liczne integracje i procesy programistyczne. ⚙️

Wektor zagrożenia i data incydentu 📅

26 sierpnia 2025 roku atakujący wykorzystał podatny na ataki przepływ pracy GitHub Actions w repozytorium Nx, aby opublikować złośliwą wersję pakietu w NPM. Pakiet zawierał złośliwy skrypt poinstalacyjny o nazwie „telemetry.js”, który działał jako złośliwe oprogramowanie do ekstrakcji danych uwierzytelniających w zaatakowanych systemach. 🔥

Jak działa złośliwe oprogramowanie telemetry.js 🕵️‍♂️

Szkodliwe oprogramowanie telemetry.js działało jako narzędzie do kradzieży danych uwierzytelniających w systemach Linux i macOS, próbując wykraść tokeny GitHub, tokeny npm, klucze SSH, pliki .env, portfele kryptowalut i inne poufne dane, a następnie przesyłać je do publicznych repozytoriów GitHub o nazwie „s1ngularity-repository”. Ten schemat działania pozwalał atakującemu na scentralizowanie i ujawnienie skradzionych informacji. 🔐

Szybki LLM używany do wyszukiwania i kradzieży danych uwierzytelniających i tajemnic
Wezwij LLM do znalezienia i ujawnienia danych uwierzytelniających i innych tajemnic
Źródło: Wiz

Atakujący zintegrował również narzędzia wiersza poleceń dla platform AI (np. Claude, Q i Gemini), aby zautomatyzować wyszukiwanie i zbieranie danych za pomocą ukierunkowanych komunikatów. Wiz dokumentuje, jak komunikat ewoluował podczas ataku, optymalizując ekstrakcję i omijając odrzucenia modelu dla określonych instrukcji, co odzwierciedla aktywne dostrojenie się atakującego do technik LLM. ✨💡

Zasięg uderzenia: promień i fazy obrażeń 📈🔥

Incydent przebiegał w trzech fazach. W pierwszej, między 26 a 27 sierpnia, zainfekowane wersje Nx bezpośrednio zaatakowały 1700 użytkowników i ujawniły ponad 2000 unikalnych sekretów, a także około 20 000 plików z zainfekowanych systemów. GitHub interweniował, ale większość danych została już zduplikowana.

  • 🔹 Faza 1 (26–27 sierpnia): 1700 użytkowników zostało dotkniętych atakiem, ~2000 ujawnionych sekretów, 20000 naruszonych plików.
  • 🔸 Faza 2 (28–29 sierpnia): Wykorzystanie wykradzionych tokenów do konwersji prywatnych repozytoriów na publiczne; naruszono 480 dodatkowych kont i ujawniono 6700 repozytoriów.
  • 🔹 Faza 3 (od 31 sierpnia): atak wymierzony w organizację ofiary, wykorzystujący konta zagrożone publikacją 500 kolejnych prywatnych repozytoriów.

W drugiej fazie atakujący wykorzystali skradzione tokeny GitHub do upublicznienia prywatnych repozytoriów i zmiany ich nazw na ciąg „s1ngularity”, co zwiększyło ryzyko ataku. W trzeciej fazie atakujący wykorzystał konkretny cel do opublikowania setek dodatkowych prywatnych repozytoriów, co pokazuje upór i eskalację ataku. 🎯

Przegląd ataku i jego wpływu
Podsumowanie wizualne ataku s1ngularity
Źródło: Wiz

Reakcja i łagodzenie skutków projektu Nx 🔧✅

Zespół Nx opublikował na GitHubie analizę przyczyn źródłowych, wyjaśniającą w jaki sposób wstrzyknięcie błędu w tytule żądania ściągnięcia w połączeniu z niebezpiecznym użyciem pull_request_target umożliwiło wykonanie dowolnego kodu z podwyższonymi uprawnieniami, uruchamiając potok publikacji i ułatwiając wykradanie tokenu publikacji npm. 🛠️

Wdrożone działania obejmowały usuwanie złośliwych pakietów, unieważnianie i rotację zagrożonych tokenów oraz wprowadzenie obowiązkowego uwierzytelniania dwuskładnikowego dla wszystkich kont wydawców. Dodatkowo, Nx wdrożył model zaufanego wydawcy NPM i dodał ręczne zatwierdzanie przepływów pracy uruchamianych przez PR. 🔐📌

Szybkie porady i najważniejsze punkty ✏️

  • ✅ W przypadku podejrzenia naruszenia należy natychmiast przejrzeć i wymienić tokeny i sekrety.
  • 📌 Unikaj niebezpiecznego użycia pull_request_target i wymuszaj ręczne zatwierdzenia w przypadku wrażliwych przepływów.
  • 🔧 Wdrażaj uwierzytelnianie wieloskładnikowe i zaufane modele publikacji, takie jak Trusted Publisher.
  • ⚡ Monitoruj publiczne repozytoria i wykonuj zautomatyzowane wyszukiwania tajnych informacji w celu wczesnego wykrywania.

Definiowanie fragmentów kodu i FAQ ✨

Czym jest telemetry.js?

telemetry.js to nazwa złośliwego skryptu wykonywanego po instalacji, zawartego w zainfekowanej wersji pakietu Nx. Działał on jako program do kradzieży danych uwierzytelniających w systemach Linux i macOS, gromadząc i wykradając poufne dane do publicznych repozytoriów kontrolowanych przez atakującego. 🔍

Ile kont i repozytoriów zostało dotkniętych?

Według raportu Wiz, atak ujawnił 2180 kont i 7200 repozytoriów w trzech udokumentowanych fazach incydentu, przy czym wiele tajemnic nadal pozostaje ważnych, a ryzyko dalszych skutków jest wysokie. 📊


Raport Picus Blue 2025 — okładka

Hasła zostały naruszone w 461 środowiskach TP3T, czyli prawie dwukrotnie więcej niż w 251 środowiskach TP3T w roku poprzednim. Pobierz raport Picus Blue Report 2025, aby uzyskać pełną analizę zapobiegania eksfiltracji danych, wykrywania jej i trendów. 📈

Raport zawiera dane statystyczne, zalecenia i studia przypadków mające na celu wzmocnienie obrony i poprawę reakcji na wycieki poufnych informacji.

Podziel się tym:
FacebookLinkedInPinterestXRedditTumblrBłękitne nieboWątkiUdział

Powiązane artykuły:

  • Armored RDP: Odkryj 10 niezbędnych kroków!
    Armored RDP: Odkryj 10 niezbędnych kroków! 🚀
    Armored RDP: Skorzystaj z naszej kompleksowej 10-etapowej listy kontrolnej, aby zabezpieczyć swój RDP w 2025 roku 🔒✨ Zabezpiecz swój system już dziś!
  • Dotfiles na GitHub Zarządzaj Linuksem łatwo i szybko!
    Dotfiles na GitHub: Zarządzaj Linuksem szybko i łatwo! 🚀💻
    Pliki Dotfiles w serwisie GitHub oszczędzają Twój czas i gwarantują bezpieczne kopie zapasowe. Kontroluj swojego Linuxa jednym kliknięciem! 💻🔄⚡
  • 5 pilnych zagrożeń AGI, o których powinieneś wiedzieć już teraz
    AGI: Rewolucja technologiczna, która zmieni Twoje życie 🌐🚀
    AGI: Sztuczna inteligencja, która wydawała się fikcją, jest już dostępna. Dowiedz się, co to dla Ciebie oznacza. 🤖🌟
  • Menedżerowie haseł
    Menedżerowie haseł 🚀: Klucz do unikania…
    Menedżerowie haseł 🔑 to rozwiązanie umożliwiające łatwe tworzenie i zapisywanie bezpiecznych haseł. Zapobiegaj kradzieży dzięki tym aplikacjom!…
  • Agenci AI i automatyzacji Zwiększ swoją produktywność x5
    Agenci AI i automatyzacja: oszczędzaj czas i…
    Sztuczna inteligencja i agenci automatyzacji rewolucjonizują procesy, zmniejszają liczbę zadań i przyspieszają osiąganie wyników dla inteligentnych firm.
  • Odpowiedniki procesorów Intel i AMD
    Odpowiedniki procesorów Intel i AMD
    Szukasz odpowiedników procesorów Intel i AMD? Wszystko, co musisz wiedzieć, znajdziesz w naszym specjalistycznym przewodniku. Dowiedz się więcej już teraz!

Powiązane posty

  • Identyfikator zdarzenia Błąd 1001: Łatwo rozwiąż teraz! ⚡
  • Prywatność AI: Wyłącz Gemini i Copilot jednym kliknięciem 🔒
  • Agenci AI: Jak zmieniają Twój biznes już dziś 💡⚡
  • Microsoft Majorana 1: Rewolucja w komputerach kwantowych! 🚀
  • ChatBIT: Nowa granica chińskiej wojskowej sztucznej inteligencji
  • 🔥 Hot Raspberry Pi: Unikaj uszkodzeń dzięki tej sztuczce ⚠️
  • Instalacja systemu Windows 11 Home bez Internetu
  • Kopia zapasowa systemu Windows 11: zapobiegaj stratom już teraz! ⚠️✨
Tagi: CyberbezpieczeństwoTreść EvergreenZłośliwe oprogramowanie
Poprzedni post

Optymalizacja sterownika graficznego: +40 % FPS po jednej aktualizacji.

Następna publikacja

Jak wykryć, co spowalnia system Windows na Twoim komputerze: Sprawdź teraz.

Wgląd w MasterTrend

Wgląd w MasterTrend

Nasz zespół redakcyjny udostępnia szczegółowe recenzje, poradniki i zalecenia, które pomogą Ci w pełni wykorzystać możliwości urządzeń i narzędzi cyfrowych.

Następna publikacja
Jak wykryć, co spowalnia system Windows na komputerze - Kobieta korzysta z laptopa ze znakiem ostrzegawczym i szuka sposobu na wykrycie, co spowalnia system Windows na jej komputerze, aby rozwiązać problem spowolnienia i zoptymalizować wydajność.

Jak wykryć, co spowalnia system Windows na Twoim komputerze: Sprawdź teraz.

5 1 głosować
Ocena artykułu
Subskrybuj
Dostęp
Powiadomienie o
gość
gość
0 Uwagi
Więcej starożytności
Najnowszy Więcej głosów
Komentarze online
Zobacz wszystkie komentarze

Pozostań w kontakcie

  • 976 Fani
  • 118 Świta
  • 1,4 tys. Świta
  • 1,8 tys. Subskrybenci

Nie przegap najnowszych technologii i gier.
Ekskluzywne porady, przewodniki i analizy każdego dnia.

Formularz subskrypcji
  • Tendencje
  • Uwagi
  • Ostatni
Jak zapisać grę w REPO

Jak zapisać grę w REPO 🔥 Odkryj sekret, aby nie stracić postępów

7 Lipiec 2025
Jak dodać zegar do pulpitu systemu Windows 11: 3 niezawodne sztuczki!

Jak dodać zegar do pulpitu systemu Windows 11: osiągnij więcej w ciągu kilku minut! ⏱️

1 maja 2025 r.
12 najlepszych alternatyw dla Lucky Patcher na Androida

Alternatywy dla Lucky Patcher: 12 lepszych i łatwiejszych w obsłudze aplikacji! 🎮⚡

12 maja 2025 r.
🖥️ Jak otworzyć „Urządzenia i drukarki” w systemie Windows 11: 4 proste kroki

🌟 Jak otworzyć „Urządzenia i drukarki” w systemie Windows 11: niesamowity trik!

27 lutego 2025
Funkcje Gmaila na Androidzie: Oszczędzaj czas dzięki 5 wskazówkom

Funkcje Gmaila na Androidzie: 5 sztuczek, o których nie wiedziałeś! 📱✨

12
Naprawa płyty głównej - Naprawa płyty głównej

Naprawa płyty głównej notebooka

10
Instalacja systemu Windows 11 Home bez Internetu

Instalacja systemu Windows 11 Home bez Internetu

10
Jak wykonać kopię zapasową sterowników w systemie Windows 11/10 w 4 krokach!

Jak wykonać kopię zapasową sterowników w systemie Windows 11/10: unikaj błędów! 🚨💾

10
Dark Souls dla zdrowia psychicznego - Rycerz Dark Souls walczy z demonicznym bossem w mrocznym lochu, symbolizującym odporność i przezwyciężanie trudności w celu osiągnięcia zdrowia psychicznego.

Dark Souls dla zdrowia psychicznego: terapia depresji w 7 wyzwaniach ⚡

26 września 2025
GeForce RTX 5070 kontra 5060 Ti — porównanie kart graficznych NVIDIA GeForce RTX 5070 i RTX 5060 Ti, pokazujące rozmiar i chłodniejszą konstrukcję komputera do gier.

GeForce RTX 5070 kontra 5060 Ti: 12 GB kontra 16 GB, OK? ⚠️

21 września 2025
Brzemię Otchłani - Oblivion (The Elder Scrolls IV): Argonianin w zbroi i z mieczem kontempluje Cesarskie Miasto i Biało-Złotą Wieżę w Cyrodiil, motyw Brzemienia.

Oblivion: Overloaded: +5 sztuczek, aby nosić więcej 💼⚡

21 września 2025
Procesor graficzny Nintendo Switch 2 — zbliżenie procesora graficznego Nvidia na płycie głównej Nintendo Switch 2, ukazujące procesor graficzny i układy pamięci na zielonej płytce PCB.

Karta graficzna Nintendo Switch 2: wydajność kontra RTX 2050 ⚡

21 września 2025

Najnowsze wiadomości

Dark Souls dla zdrowia psychicznego - Rycerz Dark Souls walczy z demonicznym bossem w mrocznym lochu, symbolizującym odporność i przezwyciężanie trudności w celu osiągnięcia zdrowia psychicznego.

Dark Souls dla zdrowia psychicznego: terapia depresji w 7 wyzwaniach ⚡

26 września 2025
5
GeForce RTX 5070 kontra 5060 Ti — porównanie kart graficznych NVIDIA GeForce RTX 5070 i RTX 5060 Ti, pokazujące rozmiar i chłodniejszą konstrukcję komputera do gier.

GeForce RTX 5070 kontra 5060 Ti: 12 GB kontra 16 GB, OK? ⚠️

21 września 2025
37
Brzemię Otchłani - Oblivion (The Elder Scrolls IV): Argonianin w zbroi i z mieczem kontempluje Cesarskie Miasto i Biało-Złotą Wieżę w Cyrodiil, motyw Brzemienia.

Oblivion: Overloaded: +5 sztuczek, aby nosić więcej 💼⚡

21 września 2025
13
Procesor graficzny Nintendo Switch 2 — zbliżenie procesora graficznego Nvidia na płycie głównej Nintendo Switch 2, ukazujące procesor graficzny i układy pamięci na zielonej płytce PCB.

Karta graficzna Nintendo Switch 2: wydajność kontra RTX 2050 ⚡

21 września 2025
41
Logotyp wiadomości MasterTrend

MasterTrend Info to Twoje źródło wiedzy o technologii: odkryj wiadomości, samouczki i analizy dotyczące sprzętu, oprogramowania, gier, urządzeń mobilnych i sztucznej inteligencji. Zapisz się do naszego newslettera i nie przegap żadnych trendów.

Obserwuj nas

Przeglądaj według kategorii

  • Hazard
  • Sprzęt komputerowy
  • Sztuczna inteligencja
  • Telefony komórkowe
  • Aktualności
  • Sieci
  • Bezpieczeństwo
  • Oprogramowanie
  • Samouczki
  • Okna

Najnowsze wiadomości

Dark Souls dla zdrowia psychicznego - Rycerz Dark Souls walczy z demonicznym bossem w mrocznym lochu, symbolizującym odporność i przezwyciężanie trudności w celu osiągnięcia zdrowia psychicznego.

Dark Souls dla zdrowia psychicznego: terapia depresji w 7 wyzwaniach ⚡

26 września 2025
GeForce RTX 5070 kontra 5060 Ti — porównanie kart graficznych NVIDIA GeForce RTX 5070 i RTX 5060 Ti, pokazujące rozmiar i chłodniejszą konstrukcję komputera do gier.

GeForce RTX 5070 kontra 5060 Ti: 12 GB kontra 16 GB, OK? ⚠️

21 września 2025
  • O nas
  • Ogłaszać
  • Polityka prywatności
  • Skontaktuj się z nami

Copyright © 2025 https://mastertrend.info/ - Wszelkie prawa zastrzeżone. Wszystkie znaki towarowe są własnością ich właścicieli.

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
Brak wyniku
Zobacz wszystkie wyniki
  • Polish Polish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
  • Hazard
  • Sprzęt komputerowy
  • Sztuczna inteligencja
  • Telefony komórkowe
  • Aktualności
  • Sieci
  • Bezpieczeństwo
  • Oprogramowanie
  • Samouczki
  • Okna

Copyright © 2025 https://mastertrend.info/ - Wszelkie prawa zastrzeżone. Wszystkie znaki towarowe są własnością ich właścicieli.

Komentarz Informacje o autorze
:wpds_smile::wpds_grin::wpds_mrugnięcie::wpds_mrgreen::wpds_neutral::wpds_twisted::wpds_arrow::wpds_shock::wpds_unamused::wpds_cool::wpds_evil::wpds_oops::wpds_razz::wpds_roll::wpds_cry::wpds_eek::wpds_lol::wpds_mad::wpds_sad::wpds_wykrzyknienie::wpds_pytanie::wpds_idea::wpds_hmm::wpds_początek::wpds_uff::wpds_chuckle::wpds_silly::wpds_envy::wpds_shutmouth:
wpDiscuz
RedditBłękitne nieboXMastodontWiadomości hakerskie
Podziel się tym:
MastodontWKWhatsAppTelegramSMSWiadomości hakerskieLiniaPosłaniec
Twoja instancja Mastodon