• Om oss
  • Meddela
  • Integritetspolicy
  • Kontakta oss
MasterTrend Nyheter
  • HEM
    • BLOGG
    • LAGRA
  • Handledningar
  • Hårdvara
  • Spel
  • Mobiltelefoner
  • Säkerhet
  • Fönster
  • AI
  • Programvara
  • Nätverk
  • Nyheter
  • Swedish Swedish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Dutch Dutch
Inget resultat
Se alla resultat
  • HEM
    • BLOGG
    • LAGRA
  • Handledningar
  • Hårdvara
  • Spel
  • Mobiltelefoner
  • Säkerhet
  • Fönster
  • AI
  • Programvara
  • Nätverk
  • Nyheter
  • Swedish Swedish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Dutch Dutch
Inget resultat
Se alla resultat
MasterTrend Nyheter
Inget resultat
Se alla resultat
Start Säkerhet

s1ngularity-läcka: 2 180 konton och 7 200 repo-platser.

MasterTrend Insights av MasterTrend Insights
6 september 2025
i Säkerhet
Lästid:4 minuters föreläsning
TILL TILL
0
s1ngularity-läcka - GitHub-logotyp mot röd bakgrund; säkerhetsvarning för s1ngularity-läckan som påverkar GitHub och NPM och utsätter utvecklardatabaser för risk.

s1ngularity-läcka: GitHub och NPM påverkade. Cyberattack kan kompromettera arkiv och paket; återkalla tokens, verifiera commits och uppdatera beroenden med 2FA för att skydda dina projekt.

6
DELAD
18
Visningar
Dela på FacebookDela på Twitter

Innehåll

  1. S1ngularity-läcka: GitHub och NPM påverkade 🚨
  2. Nx Supply Chain Attack ⚠️🚀
    1. Kompromittvektor och incidentdatum 📅
    2. Hur telemetry.js-skadlig programvara fungerar 🕵️‍♂️
  3. Påverkansområde: skadaradie och faser 📈🔥
  4. Nx-projektets respons och begränsning 🔧✅
    1. Snabba tips och viktiga punkter ✏️
    2. Definiera utdrag och vanliga frågor ✨
    3. Relaterade inlägg

S1ngularity-läcka: GitHub och NPM påverkade 🚨

GitHub — illustration relaterad till token och hemlig läcka

Nyligen genomförda utredningar av leveranskedjeattacken kallad "s1ngularity" mot Nx avslöjar en massiv läcka av inloggningsuppgifter: tusentals kontotokens och databashemligheter exponerades, med konsekvenser över flera faser av incidenten. En rapport efter incidenten från Wiz dokumenterar omfattningen och ger insikt i hur exfiltreringen utvecklades och dess inverkan. 🚨📊

Enligt bedömningen som publicerats av Wiz-forskare resulterade intrånget i att 2 180 konton och 7 200 arkiv exponerades i tre distinkta faser, med många hemligheter fortfarande giltiga och risk för fortsatt skadaWhite paper ger detaljer om tidslinjen, angriparens tekniker och de läckta hemligheternas natur. 🔍📈

Nx Supply Chain Attack ⚠️🚀

Nx är ett system med öppen källkod för att bygga och hantera ett enda arkiv som används flitigt i JavaScript/TypeScript-ekosystem i företagsskala. Med miljontals nedladdningar varje vecka i NPM-registret har ett komprometterat paket en långtgående inverkan på många integrationer och utvecklingsprocesser. ⚙️

Kompromittvektor och incidentdatum 📅

Den 26 augusti 2025 utnyttjade angriparen ett sårbart GitHub Actions-arbetsflöde i Nx-arkivet för att publicera en skadlig version av paketet till NPM. Paketet innehöll ett skadligt efterinstallationsskript med namnet "telemetry.js" som fungerade som skadlig kod för att extrahera autentiseringsuppgifter på berörda system. 🔥

Hur telemetry.js-skadlig programvara fungerar 🕵️‍♂️

Skadlig programvaran telemetry.js agerade som en autentiseringsstöld på Linux och macOS och försökte stjäla GitHub-tokens, npm-tokens, SSH-nycklar, .env-filer, kryptovalutaplånböcker och andra hemligheter, och sedan ladda upp dem till offentliga GitHub-arkiv med namnet "s1ngularity-repository". Detta mönster gjorde det möjligt för angriparen att centralisera och exponera den stulna informationen. 🔐

Prompt LLM används för att hitta och stjäla inloggningsuppgifter och hemligheter
Uppmana LLM att hitta och exfiltrera inloggningsuppgifter och andra hemligheter
Källa: Wiz

Angriparen integrerade även kommandoradsverktyg för AI-plattformar (t.ex. Claude, Q och Gemini) för att automatisera sökning och insamling med hjälp av riktade prompter. Wiz dokumenterar hur prompten utvecklades under attacken, optimerade extrahering och kringgick modellavvisanden för vissa instruktioner, vilket återspeglar aktörens aktiva anpassning till LLM-tekniker. ✨💡

Påverkansområde: skadaradie och faser 📈🔥

Händelsen utvecklades i tre faser. I den första, mellan 26 och 27 augusti, drabbade komprometterade versioner av Nx direkt 1 700 användare och läckte mer än 2 000 unika hemligheter, förutom att exponera cirka 20 000 filer från infekterade system. GitHub ingrep, men mycket av informationen hade redan duplicerats.

  • 🔹 Fas 1 (26–27 augusti): 1 700 användare drabbade, ~2 000 läckta hemligheter, 20 000 komprometterade filer.
  • 🔸 Fas 2 (28–29 augusti): Användning av läckta tokens för att konvertera privata arkiv till offentliga; 480 ytterligare konton komprometterades och 6 700 arkiv exponerades.
  • 🔹 Fas 3 (från och med 31 augusti): attack riktad mot en offerorganisation med hjälp av konton komprometterade för publicering 500 fler privata arkiv.

Under den andra fasen använde angriparna stulna GitHub-tokens för att göra privata arkiv offentliga och byta namn på dem med strängen 's1ngularity', vilket förstärkte exponeringen. I den tredje fasen utnyttjades ett specifikt mål för att publicera hundratals ytterligare privata arkiv, vilket demonstrerade angriparens ihärdighet och eskalering. 🎯

Översikt över attacken och dess inverkan
Visuell sammanfattning av s1ngularity-attacken
Källa: Wiz

Nx-projektets respons och begränsning 🔧✅

Nx-teamet publicerade en rotorsaksanalys på GitHub som förklarar hur en injektion i titeln på en pull request i kombination med osäker användning av pull_request_target tillät godtycklig kod att köras med förhöjda behörigheter, vilket utlöste publiceringspipelinen och underlättade exfiltreringen av npm-publiceringstoken. 🛠️

De implementerade åtgärderna inkluderade att ta bort skadliga paket, återkalla och rotera komprometterade tokens och kräva tvåfaktorsautentisering för alla utgivarkonton. Dessutom antog Nx NPM:s Trusted Publisher-modell och lade till manuellt godkännande för PR-utlösta arbetsflöden. 🔐📌

Snabba tips och viktiga punkter ✏️

  • ✅ Granska och rotera tokens och hemligheter omedelbart om misstanke om kompromettering uppstår.
  • 📌 Undvik osäker användning av pull_request_target och tillämpa manuella godkännanden på känsliga flöden.
  • 🔧 Implementera flerfaktorsautentisering och betrodda publiceringsmodeller som Trusted Publisher.
  • ⚡ Övervaka offentliga databaser och utför automatiserade hemliga sökningar för tidig upptäckt.

Definiera utdrag och vanliga frågor ✨

Vad är telemetry.js?

telemetry.js är namnet på det skadliga postinstallationsskriptet som ingår i den komprometterade versionen av Nx-paketet; det fungerade som en autentiseringsstöld på Linux- och macOS-system för att samla in och stjäla hemligheter till offentliga arkiv som kontrolleras av angriparen. 🔍

Hur många konton och arkiv påverkades?

Enligt Wiz rapport exponerade attacken 2 180 konton och 7 200 arkiv under incidentens tre dokumenterade faser, med många hemligheter fortfarande giltiga och risk för fortsatt påverkan. 📊


Picus Blue-rapporten 2025 — omslag

461 TP3T-miljöer hade komprometterade lösenord, nästan dubbelt så många som 251 TP3T året innan. Skaffa Picus Blue Report 2025 för en fullständig analys av förebyggande, upptäckt och trender inom dataexfiltrering. 📈

Rapporten innehåller mätvärden, rekommendationer och fallstudier för att stärka försvaret och förbättra hanteringen av hemliga läckor.

Dela detta:
FacebookLinkedInPinterestXRedditTumblrBlå himmelTrådarDela

Relaterade artiklar:

  • Armored RDP: Upptäck de 10 viktiga stegen!
    Armored RDP: Upptäck de 10 viktiga stegen! 🚀
    Bepansrad RDP: Följ vår omfattande checklista i 10 steg för att säkra din RDP år 2025 🔒✨ Skydda ditt system nu!
  • Dotfiles på GitHub Hantera Linux enkelt och snabbt!
    Dotfiles på GitHub: Hantera Linux snabbt och enkelt! 🚀💻
    Dotfiles på GitHub sparar tid och säkerställer säkra säkerhetskopior. Styr din Linux med ett enda klick! 💻🔄⚡
  • AGI 5 akuta risker du bör känna till nu
    AGI: Den teknologiska revolutionen som kommer att förändra ditt liv 🌐🚀
    AGI: Den artificiella intelligensen som verkade vara fiktion är här. Ta reda på vad den betyder för dig. 🤖🌟
  • Lösenordshanterare
    Lösenordshanterare 🚀: Nyckeln till att undvika…
    Lösenordshanterare 🔑 är lösningen för att enkelt skapa och spara säkra lösenord. Förhindra stöld med dessa appar!…
  • AI och automatiseringsagenter mångdubblar din produktivitet
    AI-agenter och automatisering: Spara tid och…
    AI och automatiseringsagenter revolutionerar processer, minskar arbetsuppgifter och accelererar resultat för smarta företag.
  • Intel- och AMD-processormotsvarigheter
    Intel- och AMD-processormotsvarigheter
    Letar du efter motsvarigheter mellan Intel- och AMD-processorer? Hitta allt du behöver veta i vår specialiserade guide. Läs mer nu!

Relaterade inlägg

  • Händelse-ID-fel 1001: Åtgärda enkelt nu! ⚡
  • AI-sekretess: Inaktivera Gemini och Copilot med ett klick 🔒
  • AI-agenter: Hur de transformerar ditt företag idag 💡⚡
  • Microsoft Majorana 1: Revolutionerar kvantberäkning! 🚀
  • ChatBIT: Den nya gränsen för kinesisk militär AI
  • 🔥 Hot Raspberry Pi: Undvik skador med det här tricket ⚠️
  • Installera Windows 11 Home utan internet
  • Windows 11-säkerhetskopiering: Förhindra förluster nu! ⚠️✨
Taggar: CybersäkerhetEvergreenContentSkadlig programvara
Föregående inlägg

Optimering av grafikdrivrutiner: +40 % FPS med en enda uppdatering.

Nästa publikation

Så här upptäcker du vad som saktar ner Windows på din dator: Kontrollera nu.

MasterTrend Insights

MasterTrend Insights

Vårt redaktionsteam delar med sig av djupgående recensioner, handledningar och rekommendationer som hjälper dig att få ut det mesta av dina digitala enheter och verktyg.

Nästa publikation
Hur man upptäcker vad som saktar ner Windows på din dator - Kvinna som använder en bärbar dator med en varningsskylt och undersöker hur man upptäcker vad som saktar ner Windows på sin dator för att åtgärda långsamheten och optimera prestandan.

Så här upptäcker du vad som saktar ner Windows på din dator: Kontrollera nu.

5 1 rösta
Artikelbetyg
Prenumerera
Tillträde
Meddela om
gäst
gäst
0 Kommentarer
Äldre
Det nyaste Mer votado
Kommentarer online
Se alla kommentarer

Håll kontakten

  • 976 Fläktar
  • 118 Följare
  • 1,4 tusen Följare
  • 1,8 tusen Prenumeranter

Missa inte det senaste inom teknik och spel.
Exklusiva tips, instruktionsguider och analyser varje dag.

Prenumerationsformulär
  • Tendenser
  • Kommentarer
  • Sista
Hur man sparar spelet i REPO

Så här sparar du ditt spel i REPO 🔥 Upptäck hemligheten bakom att inte förlora framsteg

7 juli 2025
Så här lägger du till en klocka på ditt Windows 11-skrivbord: 3 idiotsäkra knep!

Så här lägger du till en klocka på ditt Windows 11-skrivbord: Få mer gjort på några minuter! ⏱️

1 maj 2025
12 bästa alternativen till Lucky Patcher för Android

Alternativ till Lucky Patcher: 12 bättre och enklare appar! 🎮⚡

12 maj 2025
🖥️ Så här öppnar du "Enheter och skrivare" i Windows 11: 4 enkla steg

🌟 Hur man öppnar "Enheter och skrivare" i Windows 11: Fantastiskt trick!

27 februari 2025
Gmail-funktioner på Android: Spara tid med 5 tips

Gmail-funktioner på Android: 5 knep du inte visste om! 📱✨

12
Moderkortsreparation - Moderkortsreparation

Reparation av bärbara moderkort

10
Installera Windows 11 Home utan internet

Installera Windows 11 Home utan internet

10
Så här säkerhetskopierar du drivrutiner i Windows 11/10 i 4 steg!

Så här säkerhetskopierar du drivrutiner i Windows 11/10: Undvik fel! 🚨💾

10
Dark Souls för mental hälsa - En Dark Souls-riddare bekämpar en demonisk boss i en mörk fängelsehåla, vilket symboliserar motståndskraft och att övervinna för mental hälsa.

Dark Souls för mental hälsa: Depressionsterapi i 7 utmaningar ⚡

26 september 2025
GeForce RTX 5070 vs 5060 Ti - NVIDIA GeForce RTX 5070 vs RTX 5060 Ti grafikkort sida vid sida, visar storlek och svalare design för en jämförelse av speldatorer.

GeForce RTX 5070 vs 5060 Ti: 12 GB vs 16 GB, okej? ⚠️

21 september 2025
Oblivion Burden - Oblivion (The Elder Scrolls IV): Argonian med rustning och svärd betraktar den kejserliga staden och det vitguldstornet i Cyrodiil, temat för Burden.

Oblivion: Överbelastad: +5 knep för att bära mer 💼⚡

21 september 2025
Nintendo Switch 2 GPU - Närbild av Nvidia GPU på Nintendo Switch 2 moderkort, som visar grafikprocessor och minneskretsar på ett grönt kretskort.

Nintendo Switch 2 GPU: Prestanda jämfört med RTX 2050 ⚡

21 september 2025

Senaste nyheterna

Dark Souls för mental hälsa - En Dark Souls-riddare bekämpar en demonisk boss i en mörk fängelsehåla, vilket symboliserar motståndskraft och att övervinna för mental hälsa.

Dark Souls för mental hälsa: Depressionsterapi i 7 utmaningar ⚡

26 september 2025
6
GeForce RTX 5070 vs 5060 Ti - NVIDIA GeForce RTX 5070 vs RTX 5060 Ti grafikkort sida vid sida, visar storlek och svalare design för en jämförelse av speldatorer.

GeForce RTX 5070 vs 5060 Ti: 12 GB vs 16 GB, okej? ⚠️

21 september 2025
47
Oblivion Burden - Oblivion (The Elder Scrolls IV): Argonian med rustning och svärd betraktar den kejserliga staden och det vitguldstornet i Cyrodiil, temat för Burden.

Oblivion: Överbelastad: +5 knep för att bära mer 💼⚡

21 september 2025
13
Nintendo Switch 2 GPU - Närbild av Nvidia GPU på Nintendo Switch 2 moderkort, som visar grafikprocessor och minneskretsar på ett grönt kretskort.

Nintendo Switch 2 GPU: Prestanda jämfört med RTX 2050 ⚡

21 september 2025
44
MasterTrend News-logotyp

MasterTrend Info är din främsta källa för teknik: upptäck nyheter, handledningar och analyser om hårdvara, mjukvara, spel, mobila enheter och artificiell intelligens. Prenumerera på vårt nyhetsbrev och missa inga trender.

Följ oss

Bläddra efter kategori

  • Spel
  • Hårdvara
  • AI
  • Mobiltelefoner
  • Nyheter
  • Nätverk
  • Säkerhet
  • Programvara
  • Handledningar
  • Fönster

Senaste nyheterna

Dark Souls för mental hälsa - En Dark Souls-riddare bekämpar en demonisk boss i en mörk fängelsehåla, vilket symboliserar motståndskraft och att övervinna för mental hälsa.

Dark Souls för mental hälsa: Depressionsterapi i 7 utmaningar ⚡

26 september 2025
GeForce RTX 5070 vs 5060 Ti - NVIDIA GeForce RTX 5070 vs RTX 5060 Ti grafikkort sida vid sida, visar storlek och svalare design för en jämförelse av speldatorer.

GeForce RTX 5070 vs 5060 Ti: 12 GB vs 16 GB, okej? ⚠️

21 september 2025
  • Om oss
  • Meddela
  • Integritetspolicy
  • Kontakta oss

Upphovsrätt © 2025 https://mastertrend.info/ - Alla rättigheter förbehållna. Alla varumärken tillhör sina respektive ägare.

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
Inget resultat
Se alla resultat
  • Swedish Swedish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Polish Polish
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Dutch Dutch
  • Spel
  • Hårdvara
  • AI
  • Mobiltelefoner
  • Nyheter
  • Nätverk
  • Säkerhet
  • Programvara
  • Handledningar
  • Fönster

Upphovsrätt © 2025 https://mastertrend.info/ - Alla rättigheter förbehållna. Alla varumärken tillhör sina respektive ägare.

Information om kommentarförfattare
:wpds_smile::wpds_grin::wpds_wink::wpds_mrgreen::wpds_neutral::wpds_twisted::wpds_arrow::wpds_chock::wpds_unamused::wpds_cool::wpds_evil::wpds_oops::wpds_razz::wpds_roll::wpds_cry::wpds_eek::wpds_lol::wpds_mad::wpds_sad::wpds_utropstecken::wpds_fråga::wpds_idé::wpds_hmm::wpds_beg::wpds_whew::wpds_chuckle::wpds_silly::wpds_envy::wpds_shutmouth:
wpDiskussion
RedditBlå himmelXMastodontHackernyheter
Dela detta:
MastodontVKWhatsAppTelegramSMSHackernyheterLinjeBudbärare
Din Mastodon-instans