Nx'e yönelik "s1ngularity" adı verilen tedarik zinciri saldırısına yönelik son araştırmalar, büyük bir kimlik bilgisi sızıntısını ortaya çıkardı: binlerce hesap token'ı ve depo sırrı ifşa oldu ve olayın birçok aşamasına yansıdı. Wiz'in olay sonrası raporu, kapsamını belgeliyor ve sızıntının nasıl geliştiğine ve etkisine dair bilgiler sunuyor. 🚨📊
Wiz araştırmacıları tarafından yayınlanan değerlendirmeye göre, ihlal üç ayrı aşamada 2.180 hesabın ve 7.200 depolama alanının açığa çıkmasına neden oldu ve birçok sır hala geçerliliğini koruyor. devam eden hasar riskiBeyaz bültende zaman çizelgesi, saldırganın teknikleri ve sızdırılan sırların niteliği hakkında ayrıntılar yer alıyor. 🔍📈
Nx Tedarik Zinciri Saldırısı ⚠️🚀
Nx, kurumsal ölçekli JavaScript/TypeScript ekosistemlerinde yaygın olarak kullanılan, açık kaynaklı, tek depolu bir derleme ve yönetim sistemidir. NPM kayıt defterinde haftalık milyonlarca indirmeyle, tehlikeye atılmış bir paketin çok sayıda entegrasyon ve geliştirme süreci üzerinde geniş kapsamlı bir etkisi vardır. ⚙️
Uzlaşma vektörü ve olay tarihi 📅
Saldırgan, 26 Ağustos 2025'te Nx deposundaki güvenlik açığı bulunan bir GitHub Actions iş akışını kullanarak paketin kötü amaçlı bir sürümünü NPM'de yayınladı. Paket, etkilenen sistemlerde kimlik bilgisi çıkarıcı kötü amaçlı yazılım görevi gören "telemetry.js" adlı kötü amaçlı bir kurulum sonrası betiği içeriyordu. 🔥
Telemetry.js kötü amaçlı yazılımı nasıl çalışır 🕵️♂️
Telemetry.js kötü amaçlı yazılımı, Linux ve macOS'ta kimlik bilgisi hırsızı gibi davranarak GitHub token'larını, npm token'larını, SSH anahtarlarını, .env dosyalarını, kripto para cüzdanlarını ve diğer gizli bilgileri çalmaya ve ardından bunları "s1ngularity-repository" adlı genel GitHub depolarına yüklemeye çalıştı. Bu düzen, saldırganın çalınan bilgileri merkezileştirmesine ve ifşa etmesine olanak sağladı. 🔐
LLM'de kimlik bilgilerini ve diğer sırları bulup sızdırmak Kaynak: Wiz
Saldırgan ayrıca, hedefli komut istemlerini kullanarak arama ve veri toplamayı otomatikleştirmek için yapay zeka platformları (örneğin Claude, Q ve Gemini) için komut satırı araçlarını da entegre etti. Wiz, komut isteminin saldırı sırasında nasıl geliştiğini, belirli talimatlar için veri çıkarmayı nasıl optimize ettiğini ve model retlerini nasıl aştığını belgeliyor ve saldırganın LLM tekniklerine aktif uyumunu yansıtıyor. ✨💡
Etki menzili: hasar yarıçapı ve aşamaları 📈🔥
Olay üç aşamada gerçekleşti. İlk aşamada, 26-27 Ağustos tarihleri arasında, Nx'in ele geçirilmiş sürümleri 1.700 kullanıcıyı doğrudan etkiledi ve 2.000'den fazla benzersiz sırrın sızdırılmasına neden oldu; ayrıca, enfekte olmuş sistemlerden yaklaşık 20.000 dosya ifşa edildi. GitHub müdahale etti, ancak verilerin çoğu zaten kopyalanmıştı.
🔸 Aşama 2 (28-29 Ağustos): Sızdırılan token'lar kullanılarak özel veri depoları halka açık hale getirildi; 480 ek hesap tehlikeye atıldı ve 6.700 veri deposu ifşa edildi.
İkinci aşamada, saldırganlar çalınan GitHub token'larını kullanarak özel depoları herkese açık hale getirdi ve 's1ngularity' dizesiyle yeniden adlandırarak ifşayı güçlendirdi. Üçüncü aşamada ise, belirli bir hedef, saldırganın ısrarcılığını ve ilerlemesini kanıtlayan yüzlerce ek özel depo yayınlamak için kullanıldı. 🎯
s1ngularity saldırısının görsel özeti Kaynak: Wiz
Nx Projesi Müdahale ve Azaltma 🔧✅
Nx ekibi, bir çekme isteğinin başlığına yapılan bir enjeksiyonun, güvenli olmayan pull_request_target kullanımıyla bir araya geldiğinde, keyfi kodun yükseltilmiş izinlerle yürütülmesine, yayınlama hattının tetiklenmesine ve npm yayınlama belirtecinin dışarı sızdırılmasına nasıl olanak sağladığını açıklayan bir temel neden analizini GitHub'da yayınladı.
Uygulanan eylemler arasında kötü amaçlı paketlerin kaldırılması, tehlikeye atılmış token'ların iptal edilip döndürülmesi ve tüm yayıncı hesapları için iki faktörlü kimlik doğrulamanın zorunlu hale getirilmesi yer aldı. Ayrıca, Nx, NPM'nin Güvenilir Yayıncı modelini benimsedi ve PR tetiklemeli iş akışları için manuel onay ekledi. 🔐📌
Hızlı ipuçları ve önemli noktalar ✏️
✅ Tehlikeye girildiğinde token ve gizli bilgileri derhal inceleyin ve döndürün.
📌 pull_request_target'ın güvenli olmayan kullanımından kaçının ve hassas akışlarda manuel onayları zorunlu kılın.
🔧 Çok faktörlü kimlik doğrulamayı ve Güvenilir Yayıncı gibi güvenilir yayınlama modellerini uygulayın.
⚡ Genel veri depolarını izleyin ve erken tespit için otomatik gizli aramalar gerçekleştirin.
Parçacıkları ve SSS'leri Tanımlama ✨
Telemetry.js nedir?
telemetry.js, Nx paketinin tehlikeye atılmış sürümünde bulunan kötü amaçlı kurulum sonrası betiğinin adıdır; saldırganın kontrol ettiği genel depolar üzerinden gizli bilgileri toplamak ve sızdırmak için Linux ve macOS sistemlerinde kimlik bilgisi hırsızı olarak hareket etmiştir. 🔍
Kaç hesap ve depo etkilendi?
Wiz'in raporuna göre, saldırı, olayın belgelenen üç aşaması boyunca 2.180 hesabı ve 7.200 veri deposunu açığa çıkardı; birçok sır hala geçerliliğini koruyor ve etkilerin devam etme riski bulunuyor. 📊
461 TP3T ortamında, bir önceki yılki 251 TP3T'nin neredeyse iki katı olan, ele geçirilmiş parolalar vardı. Veri sızdırma önleme, tespit ve trendlerinin kapsamlı bir analizi için Picus Blue Raporu 2025'i edinin. 📈
Raporda, savunmaları güçlendirmek ve gizli sızıntılara karşı müdahaleyi iyileştirmek için ölçümler, öneriler ve vaka çalışmaları sunuluyor.
Zırhlı RDP: 10 Temel Adımı Keşfedin! 🚀 Zırhlı RDP: 2025'te RDP'nizi güvence altına almak için kapsamlı 10 adımlı kontrol listemizi izleyin 🔒✨ Sisteminizi hemen koruyun!
Intel ve AMD CPU Eşdeğerleri Intel ve AMD işlemci eşdeğerlerini mi arıyorsunuz? Bilmeniz gereken her şeyi uzman rehberimizde bulabilirsiniz. Şimdi daha fazlasını öğrenin!
Editör ekibimiz, dijital cihazlarınızdan ve araçlarınızdan en iyi şekilde yararlanmanıza yardımcı olmak için derinlemesine incelemeler, eğitimler ve öneriler paylaşıyor.
