• Sobre nós
  • Anunciar
  • política de Privacidade
  • Contate-nos
Notícias MasterTrend
  • LAR
    • BLOG
    • LOJA
  • Tutoriais
  • Hardware
  • jogos
  • Celulares
  • Segurança
  • Windows
  • IA
  • Programas
  • Redes
  • Notícias
  • Portuguese Portuguese
    • Spanish Spanish
    • English English
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Nenhum resultado
Ver todos os resultados
  • LAR
    • BLOG
    • LOJA
  • Tutoriais
  • Hardware
  • jogos
  • Celulares
  • Segurança
  • Windows
  • IA
  • Programas
  • Redes
  • Notícias
  • Portuguese Portuguese
    • Spanish Spanish
    • English English
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Nenhum resultado
Ver todos os resultados
Notícias MasterTrend
Nenhum resultado
Ver todos os resultados
Começar Segurança

vazamento de s1ngularity: 2.180 contas e 7.200 repositórios.

Insights da MasterTrend por Insights da MasterTrend
6 de setembro de 2025
em Segurança
Tempo de leitura:Leitura de 4 minutos
PARA PARA
0
Vazamento de s1ngularity - logotipo do GitHub em um fundo vermelho; alerta de segurança para o vazamento de s1ngularity que afeta o GitHub e o NPM, colocando os repositórios dos desenvolvedores em risco.

Vazamento de s1ngularity: GitHub e NPM afetados. Ataque cibernético pode comprometer repositórios e pacotes; revogar tokens, verificar commits e atualizar dependências com autenticação de dois fatores para proteger seus projetos.

2
COMPARTILHADO
5
Visualizações
Compartilhe no FacebookCompartilhe no Twitter

Conteúdo

  1. Vazamento de S1ngularity: GitHub e NPM afetados 🚨
  2. O Ataque à Cadeia de Suprimentos Nx ⚠️🚀
    1. Vetor de comprometimento e data do incidente 📅
    2. Como funciona o malware telemetry.js 🕵️‍♂️
  3. Alcance do impacto: raio de dano e fases 📈🔥
  4. Resposta e Mitigação do Projeto Nx 🔧✅
    1. Dicas rápidas e pontos-chave ✏️
    2. Definindo Snippets e FAQs ✨
    3. Publicações Relacionadas

Vazamento de S1ngularity: GitHub e NPM afetados 🚨

GitHub — ilustração relacionada ao vazamento de token e segredo

Investigações recentes sobre o ataque à cadeia de suprimentos apelidado de "s1ngularity" contra a Nx revelam um vazamento massivo de credenciais: milhares de tokens de contas e segredos de repositórios foram expostos, com repercussões em várias fases do incidente. Um relatório pós-incidente da Wiz documenta o escopo e fornece insights sobre como a exfiltração evoluiu e seu impacto. 🚨📊

Segundo a avaliação publicada pelos pesquisadores da Wiz, a violação resultou na exposição de 2.180 contas e 7.200 repositórios em três fases distintas, com muitos segredos ainda válidos e risco de danos contínuosO white paper fornece detalhes sobre o cronograma, as técnicas do invasor e a natureza dos segredos vazados. 🔍📈

O Ataque à Cadeia de Suprimentos Nx ⚠️🚀

O Nx é um sistema de compilação e gerenciamento de código aberto e repositório único, amplamente utilizado em ecossistemas JavaScript/TypeScript de escala empresarial. Com milhões de downloads semanais no registro NPM, um pacote comprometido tem um impacto de longo alcance em inúmeras integrações e pipelines de desenvolvimento. ⚙️

Vetor de comprometimento e data do incidente 📅

Em 26 de agosto de 2025, o invasor explorou um fluxo de trabalho vulnerável do GitHub Actions no repositório Nx para publicar uma versão maliciosa do pacote no NPM. O pacote incluía um script malicioso de pós-instalação chamado "telemetry.js", que agia como um malware extrator de credenciais nos sistemas afetados. 🔥

Como funciona o malware telemetry.js 🕵️‍♂️

O malware telemetry.js atuou como um ladrão de credenciais no Linux e no macOS, tentando roubar tokens do GitHub, tokens npm, chaves SSH, arquivos .env, carteiras de criptomoedas e outros segredos, enviando-os para repositórios públicos do GitHub chamados "s1ngularity-repository". Esse padrão permitiu que o invasor centralizasse e expusesse as informações roubadas. 🔐

Prompt LLM usado para encontrar e roubar credenciais e segredos
Solicitar que o LLM encontre e exfiltre credenciais e outros segredos
Fonte: Wiz

O invasor também integrou ferramentas de linha de comando para plataformas de IA (por exemplo, Claude, Q e Gemini) para automatizar a busca e a coleta usando prompts direcionados. O Wiz documenta como o prompt evoluiu durante o ataque, otimizando a extração e contornando rejeições de modelos para determinadas instruções, refletindo a sintonia ativa do agente com as técnicas de LLM. ✨💡

Alcance do impacto: raio de dano e fases 📈🔥

O incidente se desenrolou em três fases. Na primeira, entre 26 e 27 de agosto, versões comprometidas do Nx afetaram diretamente 1.700 usuários e vazaram mais de 2.000 segredos exclusivos, além de expor cerca de 20.000 arquivos de sistemas infectados. O GitHub interveio, mas grande parte dos dados já havia sido duplicada.

  • 🔹 Fase 1 (26 a 27 de agosto): 1.700 usuários afetados, ~2.000 segredos vazados, 20.000 arquivos comprometidos.
  • 🔸 Fase 2 (28 a 29 de agosto): Uso de tokens vazados para converter repositórios privados em públicos; 480 contas adicionais comprometidas e 6.700 repositórios expostos.
  • 🔹 Fase 3 (a partir de 31 de agosto): ataque direcionado a uma organização vítima usando contas comprometidas para publicar Mais 500 repositórios privados.

Durante a segunda fase, os invasores usaram tokens roubados do GitHub para tornar públicos repositórios privados e renomeá-los com a string "s1ngularity", ampliando a exposição. Na terceira fase, um alvo específico foi explorado para publicar centenas de repositórios privados adicionais, demonstrando a persistência e a escalada do invasor. 🎯

Visão geral do ataque e seu impacto
Resumo visual do ataque de singularidade
Fonte: Wiz

Resposta e Mitigação do Projeto Nx 🔧✅

A equipe Nx publicou uma análise de causa raiz no GitHub explicando como uma injeção no título de uma solicitação de pull combinada com o uso inseguro de pull_request_target permitiu que código arbitrário fosse executado com permissões elevadas, acionando o pipeline de publicação e facilitando a exfiltração do token de publicação npm. 🛠️

As ações implementadas incluíram a remoção de pacotes maliciosos, a revogação e a rotação de tokens comprometidos e a exigência de autenticação de dois fatores para todas as contas de publishers. Além disso, a Nx adotou o modelo Trusted Publisher da NPM e adicionou aprovação manual para fluxos de trabalho acionados por RP. 🔐📌

Dicas rápidas e pontos-chave ✏️

  • ✅ Revise e gire tokens e segredos imediatamente se houver suspeita de comprometimento.
  • 📌 Evite o uso inseguro de pull_request_target e imponha aprovações manuais em fluxos confidenciais.
  • 🔧 Implemente autenticação multifator e modelos de publicação confiáveis, como o Trusted Publisher.
  • ⚡ Monitore repositórios públicos e execute pesquisas secretas automatizadas para detecção precoce.

Definindo Snippets e FAQs ✨

O que é telemetry.js?

telemetry.js é o nome do script malicioso de pós-instalação incluído na versão comprometida do pacote Nx; ele agia como um ladrão de credenciais em sistemas Linux e macOS para coletar e exfiltrar segredos para repositórios públicos controlados pelo invasor. 🔍

Quantas contas e repositórios foram afetados?

De acordo com o relatório da Wiz, o ataque expôs 2.180 contas e 7.200 repositórios ao longo das três fases documentadas do incidente, com muitos segredos ainda válidos e um risco de impacto contínuo. 📊


Relatório Picus Blue 2025 — capa

461 ambientes TP3T tiveram senhas comprometidas, quase o dobro dos 251 TP3T do ano anterior. Obtenha o Relatório Picus Blue 2025 para uma análise completa sobre prevenção, detecção e tendências de exfiltração de dados. 📈

O relatório fornece métricas, recomendações e estudos de caso para fortalecer as defesas e melhorar a resposta a vazamentos secretos.

Compartilhe isto:
FacebookLinkedInPinterestXRedditTumblrCéu AzulTópicosCompartilhar

Artigos relacionados:

  • RDP blindado: descubra os 10 passos essenciais!
    RDP blindado: descubra os 10 passos essenciais! 🚀
    RDP blindado: siga nossa lista de verificação ultra abrangente de 10 etapas para proteger seu RDP em 2025 🔒✨ Proteja seu sistema agora!
  • Dotfiles no GitHub Gerencie o Linux de forma fácil e rápida!
    Dotfiles no GitHub: gerencie o Linux de forma rápida e fácil! 🚀💻
    Os Dotfiles no GitHub economizam seu tempo e garantem backups seguros. Controle seu Linux com um único clique! 💻🔄⚡
  • 5 riscos urgentes da AGI que você deve conhecer agora
    AGI: A revolução tecnológica que mudará sua vida 🌐🚀
    AGI: A inteligência artificial que parecia ficção está aqui. Descubra o que isso significa para você. 🤖🌟
  • Gerenciadores de senhas
    Gerenciadores de senhas 🚀: a chave para evitar…
    Gerenciadores de senhas 🔑 são a solução para criar e salvar senhas seguras sem esforço. Evite roubos com estes aplicativos!…
  • Agentes de IA e automação multiplicam sua produtividade x5
    Agentes de IA e automação: economize tempo e…
    Agentes de IA e automação estão revolucionando processos, reduzindo tarefas e acelerando resultados para empresas inteligentes.
  • Equivalências de CPUs Intel e AMD
    Equivalências de CPUs Intel e AMD
    Você está procurando equivalentes aos processadores Intel e AMD? Encontre tudo o que você precisa saber em nosso guia especializado. Saiba mais agora!

Publicações Relacionadas

  • ID do evento de erro 1001: solução fácil agora! ⚡
  • Privacidade da IA: desative Gemini e Copilot com 1 clique 🔒
  • Agentes de IA: como eles estão transformando seu negócio hoje 💡⚡
  • Microsoft Majorana 1: Revolucionando a computação quântica! 🚀
  • ChatBIT: A Nova Fronteira da IA Militar Chinesa
  • 🔥 Raspberry Pi quente: evite danos com este truque ⚠️
  • Instale o Windows 11 Home sem Internet
  • Backup do Windows 11: evite perdas agora! ⚠️✨
Etiquetas: CibersegurançaConteúdo EvergreenMalware
Postagem anterior

Otimização do driver gráfico: +40 % FPS com uma única atualização.

Próxima publicação

Como detectar o que está deixando o Windows lento no seu PC: Verifique agora.

Insights da MasterTrend

Insights da MasterTrend

Nossa equipe editorial compartilha análises detalhadas, tutoriais e recomendações para ajudar você a aproveitar ao máximo seus dispositivos e ferramentas digitais.

Próxima publicação
Como detectar o que está deixando o Windows lento no seu PC - Mulher usando um laptop com uma placa de alerta, pesquisando como detectar o que está deixando o Windows lento no seu PC para corrigir a lentidão e otimizar o desempenho.

Como detectar o que está deixando o Windows lento no seu PC: Verifique agora.

5 1 votar
Classificação do artigo
Inscrever-se
Acesso
Notificar de
convidado
convidado
0 Comentários
mais antigo
Mais recente Mais votados
Comentários on-line
Ver todos os comentários

Fique conectado

  • 976 Fãs
  • 118 Seguidores
  • 1,4 mil Seguidores
  • 1,8 mil Assinantes

Não perca as últimas novidades em tecnologia e jogos.
Dicas exclusivas, guias práticos e análises todos os dias.

Formulário de inscrição
  • Tendências
  • Comentários
  • Durar
Como adicionar um relógio à área de trabalho do Windows 11: 3 truques infalíveis!

Como adicionar um relógio à área de trabalho do Windows 11: faça mais em minutos! ⏱️

1 de maio de 2025
12 melhores alternativas ao Lucky Patcher para Android

Alternativas ao Lucky Patcher: 12 aplicativos melhores e fáceis! 🎮⚡

12 de maio de 2025
Como salvar o jogo no REPO

Como salvar seu jogo no REPO 🔥 Descubra o segredo para não perder o progresso

7 de julho de 2025
Como usar o AdGuard DNS no Android em 2024

Como usar o AdGuard DNS no Android em 2025

11 de fevereiro de 2025
Recursos do Gmail no Android: economize tempo com 5 dicas

Recursos do Gmail no Android: 5 truques que você não conhecia! 📱✨

12
Conserto de placa-mãe - Reparar placas-mãe

Conserto de placa mãe de notebook

10
Instale o Windows 11 Home sem Internet

Instale o Windows 11 Home sem Internet

10
Como fazer backup de drivers no Windows 11/10 em 4 etapas!

Como fazer backup de drivers no Windows 11/10: evite erros! 🚨💾

10
Filtros de cor do iPhone - Mulher segurando um iPhone mostrando Ajustes > Acessibilidade com filtros de cor ativados (tons de cinza, vermelho/verde, azul/amarelo).

Filtros de cor para iPhone: 3 passos para uma leitura melhor agora 📱✨

7 de setembro de 2025
Switch 2 vs Switch 1 - Pessoa segurando um Nintendo Switch 2 branco com o logotipo na tela, ilustrando uma comparação de design entre Switch 2 e Switch 1.

Switch 2 vs Switch 1: +FPS e tela de 120Hz.

6 de setembro de 2025
Oblivion Goblin Wars: Goblin agressivo em uma caverna escura, gritando e atacando com uma lança entre estalagmites, correntes e barras.

Oblivion Goblin Wars: Roube um Totem, Cause o Caos 💥⏳

6 de setembro de 2025
Como detectar o que está deixando o Windows lento no seu PC - Mulher usando um laptop com uma placa de alerta, pesquisando como detectar o que está deixando o Windows lento no seu PC para corrigir a lentidão e otimizar o desempenho.

Como detectar o que está deixando o Windows lento no seu PC: Verifique agora.

6 de setembro de 2025

Notícias recentes

Filtros de cor do iPhone - Mulher segurando um iPhone mostrando Ajustes > Acessibilidade com filtros de cor ativados (tons de cinza, vermelho/verde, azul/amarelo).

Filtros de cor para iPhone: 3 passos para uma leitura melhor agora 📱✨

7 de setembro de 2025
4
Switch 2 vs Switch 1 - Pessoa segurando um Nintendo Switch 2 branco com o logotipo na tela, ilustrando uma comparação de design entre Switch 2 e Switch 1.

Switch 2 vs Switch 1: +FPS e tela de 120Hz.

6 de setembro de 2025
5
Oblivion Goblin Wars: Goblin agressivo em uma caverna escura, gritando e atacando com uma lança entre estalagmites, correntes e barras.

Oblivion Goblin Wars: Roube um Totem, Cause o Caos 💥⏳

6 de setembro de 2025
4
Como detectar o que está deixando o Windows lento no seu PC - Mulher usando um laptop com uma placa de alerta, pesquisando como detectar o que está deixando o Windows lento no seu PC para corrigir a lentidão e otimizar o desempenho.

Como detectar o que está deixando o Windows lento no seu PC: Verifique agora.

6 de setembro de 2025
6
Logotipo da MasterTrend News

MasterTrend Info é a sua fonte de referência em tecnologia: descubra notícias, tutoriais e análises sobre hardware, software, jogos, dispositivos móveis e inteligência artificial. Assine nossa newsletter e não perca nenhuma tendência.

Siga-nos

Navegar por categoria

  • jogos
  • Hardware
  • IA
  • Celulares
  • Notícias
  • Redes
  • Segurança
  • Programas
  • Tutoriais
  • Windows

Notícias recentes

Filtros de cor do iPhone - Mulher segurando um iPhone mostrando Ajustes > Acessibilidade com filtros de cor ativados (tons de cinza, vermelho/verde, azul/amarelo).

Filtros de cor para iPhone: 3 passos para uma leitura melhor agora 📱✨

7 de setembro de 2025
Switch 2 vs Switch 1 - Pessoa segurando um Nintendo Switch 2 branco com o logotipo na tela, ilustrando uma comparação de design entre Switch 2 e Switch 1.

Switch 2 vs Switch 1: +FPS e tela de 120Hz.

6 de setembro de 2025
  • Sobre nós
  • Anunciar
  • política de Privacidade
  • Contate-nos

Copyright © 2025 https://mastertrend.info/ - Todos os direitos reservados. Todas as marcas registradas são propriedade de seus respectivos proprietários.

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
Nenhum resultado
Ver todos os resultados
  • Portuguese Portuguese
    • Spanish Spanish
    • English English
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Polish Polish
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
  • jogos
  • Hardware
  • IA
  • Celulares
  • Notícias
  • Redes
  • Segurança
  • Programas
  • Tutoriais
  • Windows

Copyright © 2025 https://mastertrend.info/ - Todos os direitos reservados. Todas as marcas registradas são propriedade de seus respectivos proprietários.

Informações do autor do comentário
:wpds_smile::wpds_grin::wpds_wink::wpds_mrgreen::wpds_neutro::wpds_twisted::wpds_arrow::wpds_choque::wpds_unamused::wpds_cool::wpds_evil::wpds_oops::wpds_razz::wpds_roll::wpds_cry::wpds_eek::wpds_lol::wpds_mad::wpds_triste::wpds_exclamação::wpds_question::ideia_wpds::wpds_hmm::wpds_beg::wpds_ufa::wpds_risada::wpds_silly::wpds_inveja::wpds_cala a boca:
wpDiscuz
RedditCéu AzulXMastodonteNotícias Hacker
Compartilhe isto:
MastodonteVKO que você acha do WhatsApp?TelegramaSMSNotícias HackerLinhaMensageiro
Sua instância Mastodon