การรั่วไหลของ S1ngularity: GitHub และ NPM ได้รับผลกระทบ 🚨
การสืบสวนล่าสุดเกี่ยวกับการโจมตีซัพพลายเชนที่เรียกว่า "s1ngularity" ต่อ Nx เผยให้เห็นการรั่วไหลของข้อมูลประจำตัวครั้งใหญ่: โทเค็นบัญชีและความลับของที่เก็บข้อมูลนับพันถูกเปิดเผย ซึ่งส่งผลกระทบในหลายระยะของเหตุการณ์ รายงานหลังเหตุการณ์จาก Wiz ได้บันทึกขอบเขตและให้ข้อมูลเชิงลึกเกี่ยวกับวิวัฒนาการและผลกระทบของการขโมยข้อมูล 🚨📊
ตามการประเมินที่เผยแพร่โดยนักวิจัย Wiz การละเมิดดังกล่าวส่งผลให้บัญชี 2,180 บัญชีและที่เก็บข้อมูล 7,200 รายการถูกเปิดเผยในสามระยะที่แตกต่างกัน โดยที่ความลับจำนวนมากยังคงถูกต้องและ ความเสี่ยงที่จะเกิดความเสียหายต่อเนื่องเอกสารไวท์เปเปอร์ให้รายละเอียดเกี่ยวกับไทม์ไลน์ เทคนิคของผู้โจมตี และลักษณะของความลับที่รั่วไหล 🔍📈
การโจมตีห่วงโซ่อุปทาน Nx ⚠️🚀
Nx เป็นระบบสร้างและจัดการแบบโอเพนซอร์สที่ใช้พื้นที่เก็บข้อมูลเดียว ซึ่งใช้งานกันอย่างแพร่หลายในระบบนิเวศ JavaScript/TypeScript ระดับองค์กร ด้วยยอดดาวน์โหลดหลายล้านครั้งต่อสัปดาห์บน NPM Registry แพ็คเกจที่ถูกบุกรุกจึงส่งผลกระทบอย่างกว้างขวางต่อการผสานรวมและขั้นตอนการพัฒนาจำนวนมาก ⚙️
เวกเตอร์ประนีประนอมและวันที่เกิดเหตุ 📅
El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como มัลแวร์ extractor de credenciales en los sistemas afectados. 🔥
มัลแวร์ Telemetry.js ทำงานอย่างไร 🕵️♂️
El malware telemetry.js actuó como un ladrón de credenciales en ลินุกซ์ y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository. Este patrón permitió al atacante centralizar y exponer la información robada. 🔐
ที่มา: Wiz
El atacante además integró herramientas de línea de comandos para plataformas de AI (por ejemplo, Claude, Q y Gemini) para automatizar búsquedas y recolección mediante prompts dirigidos. Wiz documenta cómo el prompt evolucionó durante el ataque, optimizando la extracción y sorteando rechazos de los modelos ante ciertas instrucciones, lo que refleja una sintonía activa del actor con técnicas LLM. ✨💡
ระยะการกระทบ: รัศมีความเสียหายและเฟส 📈🔥
เหตุการณ์นี้เกิดขึ้นเป็นสามระยะ ระยะแรกระหว่างวันที่ 26-27 สิงหาคม เวอร์ชัน Nx ที่ถูกบุกรุกส่งผลกระทบโดยตรงต่อผู้ใช้ 1,700 ราย และรั่วไหลข้อมูลลับเฉพาะมากกว่า 2,000 รายการ นอกจากนี้ยังเปิดเผยไฟล์ประมาณ 20,000 ไฟล์จากระบบที่ติดไวรัส GitHub เข้ามาแทรกแซง แต่ข้อมูลส่วนใหญ่ถูกคัดลอกไปแล้ว
- 🔹 ระยะที่ 1 (26–27 สิงหาคม): ผู้ใช้ 1,700 รายได้รับผลกระทบ มีข้อมูลลับรั่วไหลประมาณ 2,000 รายการ และไฟล์ถูกบุกรุก 20,000 ไฟล์
- 🔸 ระยะที่ 2 (28–29 สิงหาคม): การใช้โทเค็นที่รั่วไหลเพื่อแปลงที่เก็บข้อมูลส่วนตัวเป็นสาธารณะ บัญชีเพิ่มอีก 480 บัญชีถูกบุกรุกและที่เก็บข้อมูล 6,700 แห่งถูกเปิดเผย
- 🔹 ระยะที่ 3 (ตั้งแต่วันที่ 31 สิงหาคม): การโจมตีโดยกำหนดเป้าหมายองค์กรที่เป็นเหยื่อโดยใช้ บัญชีที่ถูกบุกรุกเพื่อเผยแพร่ ที่เก็บข้อมูลส่วนตัวเพิ่มขึ้นอีก 500 แห่ง
ในระยะที่สอง ผู้โจมตีได้ใช้โทเค็น GitHub ที่ขโมยมาเพื่อเปิดเผยคลังข้อมูลส่วนตัวสาธารณะ และเปลี่ยนชื่อเป็นสตริง 's1ngularity' เพื่อเพิ่มโอกาสการถูกโจมตี ในระยะที่สาม มีการใช้เป้าหมายเฉพาะเพื่อเผยแพร่คลังข้อมูลส่วนตัวเพิ่มเติมอีกหลายร้อยแห่ง ซึ่งแสดงให้เห็นถึงความต่อเนื่องและการขยายขอบเขตการโจมตีของผู้โจมตี 🎯
ที่มา: Wiz
การตอบสนองและการบรรเทาผลกระทบโครงการ Nx 🔧✅
ทีม Nx ได้เผยแพร่การวิเคราะห์สาเหตุหลักบน GitHub โดยอธิบายว่าการแทรกในชื่อของคำขอแบบ Pull Request ร่วมกับการใช้ Pull_request_target ที่ไม่ปลอดภัย ทำให้สามารถรันโค้ดตามอำเภอใจด้วยสิทธิ์ที่สูงกว่า ทำให้เกิดกระบวนการเผยแพร่และอำนวยความสะดวกในการแยกโทเค็นการเผยแพร่ npm 🛠️
การดำเนินการที่นำมาใช้ประกอบด้วยการลบแพ็กเกจที่เป็นอันตราย การเพิกถอนและหมุนเวียนโทเค็นที่ถูกบุกรุก และการกำหนดการยืนยันตัวตนแบบสองปัจจัยสำหรับบัญชีผู้เผยแพร่ทั้งหมด นอกจากนี้ Nx ยังนำโมเดล Trusted Publisher ของ NPM มาใช้ และเพิ่มการอนุมัติด้วยตนเองสำหรับเวิร์กโฟลว์ที่ทริกเกอร์โดย PR 🔐📌
เคล็ดลับด่วนและประเด็นสำคัญ ✏️
- ✅ ตรวจสอบและหมุนเวียนโทเค็นและความลับทันทีหากสงสัยว่ามีการบุกรุก
- 📌 หลีกเลี่ยงการใช้ pull_request_target ที่ไม่ปลอดภัยและบังคับใช้การอนุมัติด้วยตนเองในโฟลว์ที่ละเอียดอ่อน
- 🔧 นำการตรวจสอบปัจจัยหลายประการและรูปแบบการเผยแพร่ที่เชื่อถือได้ เช่น ผู้เผยแพร่ที่เชื่อถือได้ มาใช้
- ⚡ ตรวจสอบที่เก็บข้อมูลสาธารณะและดำเนินการค้นหาความลับอัตโนมัติเพื่อการตรวจจับในระยะเริ่มต้น
การกำหนด Snippets และคำถามที่พบบ่อย ✨
telemetry.js คืออะไร?
telemetry.js คือชื่อของสคริปต์หลังการติดตั้งที่เป็นอันตรายซึ่งรวมอยู่ในแพ็คเกจ Nx เวอร์ชันที่ถูกบุกรุก โดยทำหน้าที่เป็นตัวขโมยข้อมูลประจำตัวบนระบบ Linux และ macOS เพื่อเก็บเกี่ยวและขโมยความลับไปยังที่เก็บข้อมูลสาธารณะที่ควบคุมโดยผู้โจมตี 🔍
มีบัญชีและที่เก็บข้อมูลกี่แห่งที่ได้รับผลกระทบ?
ตามรายงานของ Wiz การโจมตีได้เปิดเผยบัญชี 2,180 บัญชีและที่เก็บข้อมูล 7,200 รายการตลอดทั้งสามระยะของเหตุการณ์ที่ได้รับการบันทึกไว้ โดยที่ความลับหลายอย่างยังคงใช้งานได้และมีความเสี่ยงที่จะได้รับผลกระทบอย่างต่อเนื่อง 📊
46% de entornos presentaron contraseñas comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈
รายงานนี้ให้ข้อมูลการวัด คำแนะนำ และกรณีศึกษาเพื่อเสริมสร้างการป้องกันและปรับปรุงการตอบสนองต่อการรั่วไหลของข้อมูล
