S1ngularity filtreleme: 2.180 hesap ve 7.200 depo.

Nx'e yönelik "s1ngularity" adı verilen tedarik zinciri saldırısına yönelik son araştırmalar, büyük bir kimlik bilgisi sızıntısını ortaya çıkardı: binlerce hesap token'ı ve depo sırrı ifşa oldu ve olayın birçok aşamasına yansıdı. Wiz'in olay sonrası raporu, kapsamını belgeliyor ve sızıntının nasıl geliştiğine ve etkisine dair bilgiler sunuyor. 🚨📊

Wiz araştırmacıları tarafından yayınlanan değerlendirmeye göre, ihlal üç ayrı aşamada 2.180 hesabın ve 7.200 depolama alanının açığa çıkmasına neden oldu ve birçok sır hala geçerliliğini koruyor. devam eden hasar riskiBeyaz bültende zaman çizelgesi, saldırganın teknikleri ve sızdırılan sırların niteliği hakkında ayrıntılar yer alıyor. 🔍📈

Nx Tedarik Zinciri Saldırısı ⚠️🚀

Nx, kurumsal ölçekli JavaScript/TypeScript ekosistemlerinde yaygın olarak kullanılan, açık kaynaklı, tek depolu bir derleme ve yönetim sistemidir. NPM kayıt defterinde haftalık milyonlarca indirmeyle, tehlikeye atılmış bir paketin çok sayıda entegrasyon ve geliştirme süreci üzerinde geniş kapsamlı bir etkisi vardır. ⚙️

Uzlaşma vektörü ve olay tarihi 📅

El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como kötü amaçlı yazılım extractor de credenciales en los sistemas afectados. 🔥

Telemetry.js kötü amaçlı yazılımı nasıl çalışır 🕵️‍♂️

Telemetry.js kötü amaçlı yazılımı, Linux ve macOS'ta kimlik bilgisi hırsızı gibi davranarak GitHub token'larını, npm token'larını, SSH anahtarlarını, .env dosyalarını, kripto para cüzdanlarını ve diğer gizli bilgileri çalmaya ve ardından bunları "s1ngularity-repository" adlı genel GitHub depolarına yüklemeye çalıştı. Bu model, saldırganın çalınan bilgileri merkezileştirip ifşa etmesine olanak sağladı. 🔐

Saldırgan ayrıca, hedefli komut istemlerini kullanarak arama ve veri toplamayı otomatikleştirmek için yapay zeka platformları (örneğin Claude, Q ve Gemini) için komut satırı araçlarını da entegre etti. Wiz, komut isteminin saldırı sırasında nasıl geliştiğini, belirli talimatlar için veri çıkarmayı nasıl optimize ettiğini ve model retlerini nasıl aştığını belgeliyor ve saldırganın LLM tekniklerine aktif uyumunu yansıtıyor. ✨💡

Etki menzili: hasar yarıçapı ve aşamaları 📈🔥

Olay üç aşamada gerçekleşti. İlk aşamada, 26-27 Ağustos tarihleri arasında, Nx'in ele geçirilmiş sürümleri 1.700 kullanıcıyı doğrudan etkiledi ve 2.000'den fazla benzersiz sırrın sızdırılmasına neden oldu; ayrıca, enfekte olmuş sistemlerden yaklaşık 20.000 dosya ifşa edildi. GitHub müdahale etti, ancak verilerin çoğu zaten kopyalanmıştı.

• 🔹 Aşama 1 (26-27 Ağustos): 1.700 kullanıcı etkilendi, yaklaşık 2.000 sır sızdırıldı, 20.000 dosya tehlikeye atıldı.
• 🔸 Aşama 2 (28-29 Ağustos): Sızdırılan token'lar kullanılarak özel veri depoları halka açık hale getirildi; 480 ek hesap tehlikeye atıldı ve 6.700 veri deposu ifşa edildi.
• 🔹 Aşama 3 (31 Ağustos'tan itibaren): kurban bir kuruluşu hedef alan saldırı yayınlamak için hesaplar tehlikeye atıldı 500'den fazla özel depo.

İkinci aşamada, saldırganlar çalınan GitHub token'larını kullanarak özel depoları herkese açık hale getirdi ve 's1ngularity' dizesiyle yeniden adlandırarak ifşayı güçlendirdi. Üçüncü aşamada ise, belirli bir hedef, saldırganın ısrarcılığını ve ilerlemesini kanıtlayan yüzlerce ek özel depo yayınlamak için kullanıldı. 🎯

Nx Projesi Müdahale ve Azaltma 🔧✅

Nx ekibi, bir çekme isteğinin başlığına yapılan bir enjeksiyonun, güvenli olmayan pull_request_target kullanımıyla bir araya geldiğinde, keyfi kodun yükseltilmiş izinlerle yürütülmesine, yayınlama hattının tetiklenmesine ve npm yayınlama belirtecinin dışarı sızdırılmasına nasıl olanak sağladığını açıklayan bir temel neden analizini GitHub'da yayınladı.

Uygulanan eylemler arasında kötü amaçlı paketlerin kaldırılması, tehlikeye atılmış token'ların iptal edilip döndürülmesi ve tüm yayıncı hesapları için iki faktörlü kimlik doğrulamanın zorunlu hale getirilmesi yer aldı. Ayrıca, Nx, NPM'nin Güvenilir Yayıncı modelini benimsedi ve PR tetiklemeli iş akışları için manuel onay ekledi. 🔐📌

Hızlı ipuçları ve önemli noktalar ✏️

• ✅ Tehlikeye girildiğinde token ve gizli bilgileri derhal inceleyin ve döndürün.
• 📌 pull_request_target'ın güvenli olmayan kullanımından kaçının ve hassas akışlarda manuel onayları zorunlu kılın.
• 🔧 Çok faktörlü kimlik doğrulamayı ve Güvenilir Yayıncı gibi güvenilir yayınlama modellerini uygulayın.
• ⚡ Genel veri depolarını izleyin ve erken tespit için otomatik gizli aramalar gerçekleştirin.