S1ngularity sızıntısı: GitHub ve NPM etkilendi 🚨
Nx'e yönelik "s1ngularity" adı verilen tedarik zinciri saldırısına yönelik son araştırmalar, büyük bir kimlik bilgisi sızıntısını ortaya çıkardı: binlerce hesap token'ı ve depo sırrı ifşa oldu ve olayın birçok aşamasına yansıdı. Wiz'in olay sonrası raporu, kapsamını belgeliyor ve sızıntının nasıl geliştiğine ve etkisine dair bilgiler sunuyor. 🚨📊
Wiz araştırmacıları tarafından yayınlanan değerlendirmeye göre, ihlal üç ayrı aşamada 2.180 hesabın ve 7.200 depolama alanının açığa çıkmasına neden oldu ve birçok sır hala geçerliliğini koruyor. devam eden hasar riskiBeyaz bültende zaman çizelgesi, saldırganın teknikleri ve sızdırılan sırların niteliği hakkında ayrıntılar yer alıyor. 🔍📈
Nx Tedarik Zinciri Saldırısı ⚠️🚀
Nx, kurumsal ölçekli JavaScript/TypeScript ekosistemlerinde yaygın olarak kullanılan, açık kaynaklı, tek depolu bir derleme ve yönetim sistemidir. NPM kayıt defterinde haftalık milyonlarca indirmeyle, tehlikeye atılmış bir paketin çok sayıda entegrasyon ve geliştirme süreci üzerinde geniş kapsamlı bir etkisi vardır. ⚙️
Uzlaşma vektörü ve olay tarihi 📅
Saldırgan, 26 Ağustos 2025'te Nx deposundaki güvenlik açığı bulunan bir GitHub Actions iş akışını kullanarak paketin kötü amaçlı bir sürümünü NPM'de yayınladı. Paket, etkilenen sistemlerde kimlik bilgisi çıkarıcı kötü amaçlı yazılım görevi gören "telemetry.js" adlı kötü amaçlı bir kurulum sonrası betiği içeriyordu. 🔥
Telemetry.js kötü amaçlı yazılımı nasıl çalışır 🕵️♂️
El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository. Este patrón permitió al atacante centralizar y exponer la información robada. 🔐
Kaynak: Wiz
Saldırgan ayrıca, hedefli komut istemlerini kullanarak arama ve veri toplamayı otomatikleştirmek için yapay zeka platformları (örneğin Claude, Q ve Gemini) için komut satırı araçlarını da entegre etti. Wiz, komut isteminin saldırı sırasında nasıl geliştiğini, belirli talimatlar için veri çıkarmayı nasıl optimize ettiğini ve model retlerini nasıl aştığını belgeliyor ve saldırganın LLM tekniklerine aktif uyumunu yansıtıyor. ✨💡
Etki menzili: hasar yarıçapı ve aşamaları 📈🔥
Olay üç aşamada gerçekleşti. İlk aşamada, 26-27 Ağustos tarihleri arasında, Nx'in ele geçirilmiş sürümleri 1.700 kullanıcıyı doğrudan etkiledi ve 2.000'den fazla benzersiz sırrın sızdırılmasına neden oldu; ayrıca, enfekte olmuş sistemlerden yaklaşık 20.000 dosya ifşa edildi. GitHub müdahale etti, ancak verilerin çoğu zaten kopyalanmıştı.
- 🔹 Aşama 1 (26-27 Ağustos): 1.700 kullanıcı etkilendi, yaklaşık 2.000 sır sızdırıldı, 20.000 dosya tehlikeye atıldı.
- 🔸 Aşama 2 (28-29 Ağustos): Sızdırılan token'lar kullanılarak özel veri depoları halka açık hale getirildi; 480 ek hesap tehlikeye atıldı ve 6.700 veri deposu ifşa edildi.
- 🔹 Aşama 3 (31 Ağustos'tan itibaren): kurban bir kuruluşu hedef alan saldırı yayınlamak için hesaplar tehlikeye atıldı 500'den fazla özel depo.
İkinci aşamada, saldırganlar çalınan GitHub token'larını kullanarak özel depoları herkese açık hale getirdi ve 's1ngularity' dizesiyle yeniden adlandırarak ifşayı güçlendirdi. Üçüncü aşamada ise, belirli bir hedef, saldırganın ısrarcılığını ve ilerlemesini kanıtlayan yüzlerce ek özel depo yayınlamak için kullanıldı. 🎯
Kaynak: Wiz
Nx Projesi Müdahale ve Azaltma 🔧✅
Nx ekibi, bir çekme isteğinin başlığına yapılan bir enjeksiyonun, güvenli olmayan pull_request_target kullanımıyla bir araya geldiğinde, keyfi kodun yükseltilmiş izinlerle yürütülmesine, yayınlama hattının tetiklenmesine ve npm yayınlama belirtecinin dışarı sızdırılmasına nasıl olanak sağladığını açıklayan bir temel neden analizini GitHub'da yayınladı.
Uygulanan eylemler arasında kötü amaçlı paketlerin kaldırılması, tehlikeye atılmış token'ların iptal edilip döndürülmesi ve tüm yayıncı hesapları için iki faktörlü kimlik doğrulamanın zorunlu hale getirilmesi yer aldı. Ayrıca, Nx, NPM'nin Güvenilir Yayıncı modelini benimsedi ve PR tetiklemeli iş akışları için manuel onay ekledi. 🔐📌
Hızlı ipuçları ve önemli noktalar ✏️
- ✅ Tehlikeye girildiğinde token ve gizli bilgileri derhal inceleyin ve döndürün.
- 📌 pull_request_target'ın güvenli olmayan kullanımından kaçının ve hassas akışlarda manuel onayları zorunlu kılın.
- 🔧 Çok faktörlü kimlik doğrulamayı ve Güvenilir Yayıncı gibi güvenilir yayınlama modellerini uygulayın.
- ⚡ Genel veri depolarını izleyin ve erken tespit için otomatik gizli aramalar gerçekleştirin.
Parçacıkları ve SSS'leri Tanımlama ✨
Telemetry.js nedir?
telemetry.js, Nx paketinin tehlikeye atılmış sürümünde bulunan kötü amaçlı kurulum sonrası betiğinin adıdır; saldırganın kontrol ettiği genel depolar üzerinden gizli bilgileri toplamak ve sızdırmak için Linux ve macOS sistemlerinde kimlik bilgisi hırsızı olarak hareket etmiştir. 🔍
Kaç hesap ve depo etkilendi?
Wiz'in raporuna göre, saldırı, olayın belgelenen üç aşaması boyunca 2.180 hesabı ve 7.200 veri deposunu açığa çıkardı; birçok sır hala geçerliliğini koruyor ve etkilerin devam etme riski bulunuyor. 📊
461 TP3T ortamında, bir önceki yılki 251 TP3T'nin neredeyse iki katı olan, ele geçirilmiş parolalar vardı. Veri sızdırma önleme, tespit ve trendlerinin kapsamlı bir analizi için Picus Blue Raporu 2025'i edinin. 📈
Raporda, savunmaları güçlendirmek ve gizli sızıntılara karşı müdahaleyi iyileştirmek için ölçümler, öneriler ve vaka çalışmaları sunuluyor.
