• 關於我們
  • 宣布
  • 隱私權政策
  • 联系我们
MasterTrend 新闻
  • 家
    • 博客
    • 店铺
  • 教程
  • 硬體
  • 赌博
  • 手机
  • 安全
  • 視窗
  • 人工智能
  • 軟體
  • 网络
  • 消息
  • Chinese Chinese
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
没有结果
查看所有结果
  • 家
    • 博客
    • 店铺
  • 教程
  • 硬體
  • 赌博
  • 手机
  • 安全
  • 視窗
  • 人工智能
  • 軟體
  • 网络
  • 消息
  • Chinese Chinese
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
没有结果
查看所有结果
MasterTrend 新闻
没有结果
查看所有结果
開始 安全

s1ngularity 泄漏:2,180 个账户和 7,200 个 repos。

MasterTrend 洞察 经过 MasterTrend 洞察
2025年1月9日 6日
在 安全
阅读时间:4 分钟阅读
到 到
0
s1ngularity 泄漏 - 红色背景上的 GitHub 徽标;针对影响 GitHub 和 NPM 的 s1ngularity 泄漏的安全警报,使开发人员存储库面临风险。

s1ngularity 泄漏:GitHub 和 NPM 受到影响。网络攻击可能会危及存储库和软件包;撤销令牌、验证提交并使用双重身份验证 (2FA) 更新依赖项,以保护您的项目。

6
共享
18
视图
在 Facebook 上分享在 Twitter 上分享

內容

  1. S1ngularity 泄漏:GitHub 和 NPM 受到影响🚨
  2. Nx 供应链攻击⚠️🚀
    1. 入侵媒介和事件日期📅
    2. telemetry.js 恶意软件的工作原理
  3. 影响范围:伤害半径和阶段📈🔥
  4. Nx 项目响应和缓解措施
    1. 快速提示和要点✏️
    2. 定义片段和常见问题解答✨
    3. 相关出版物

S1ngularity 泄漏:GitHub 和 NPM 受到影响🚨

GitHub — 与 token 和 secret 泄露相关的图示

最近,针对 Nx 供应链攻击事件“s1ngularity”的调查揭示了大规模凭证泄露:数千个账户令牌和存储库机密被泄露,影响了事件的多个阶段。Wiz 的一份事后报告记录了此次事件的范围,并深入分析了此次数据泄露的演变过程及其影响。🚨📊

根据 Wiz 研究人员发布的评估,此次泄露事件导致 2,180 个账户和 7,200 个存储库分三个阶段暴露,其中许多秘密仍然有效, 持续损害的风险白皮书提供了有关时间线、攻击者的技术以及泄露机密的性质的详细信息。🔍📈

Nx 供应链攻击⚠️🚀

Nx 是一个开源的单仓库构建和管理系统,广泛应用于企业级 JavaScript/TypeScript 生态系统。NPM 仓库每周下载量达数百万次,一个被盗用的软件包会对众多集成和开发流程造成深远影响。⚙️

入侵媒介和事件日期📅

2025 年 8 月 26 日,攻击者利用 Nx 仓库中存在漏洞的 GitHub Actions 工作流程,将软件包的恶意版本发布到 NPM。该软件包包含一个名为“telemetry.js”的恶意安装后脚本,该脚本在受影响的系统上充当凭证提取器恶意软件。🔥

telemetry.js 恶意软件的工作原理

telemetry.js 恶意软件在 Linux 和 macOS 上充当凭证窃取程序,试图窃取 GitHub 令牌、npm 令牌、SSH 密钥、.env 文件、加密货币钱包和其他机密信息,然后将它们上传到名为“s1ngularity-repository”的公共 GitHub 存储库。这种模式使攻击者能够集中并公开被盗信息。🔐

提示法学硕士用于查找和窃取凭证和机密
提示 LLM 查找并泄露凭证和其他机密
资料来源:Wiz

攻击者还集成了 AI 平台(例如 Claude、Q 和 Gemini)的命令行工具,以便使用定向提示自动进行搜索和数据收集。Wiz 记录了该提示在攻击过程中的演变过程,包括优化提取并规避某些指令的模型拒绝,这反映了攻击者对 LLM 技术的积极运用。✨💡

影响范围:伤害半径和阶段📈🔥

此次事件分为三个阶段。第一阶段,即8月26日至27日,受感染的Nx版本直接影响了1700名用户,泄露了超过2000个机密信息,此外还暴露了受感染系统中约2万个文件。GitHub随后进行了干预,但大部分数据已被复制。

  • 🔹 第一阶段(8月26日至27日): 1,700 名用户受到影响,约 2,000 个机密被泄露,20,000 个文件被盗。
  • 🔸 第二阶段(8月28日至29日): 使用泄露的令牌将私有存储库转换为公共存储库;另外 480 个帐户遭到入侵,6,700 个存储库遭到暴露。
  • 🔹 第三阶段(8月31日起): 针对受害组织的攻击,使用 账户被盗发布 500多个私人存储库。

在第二阶段,攻击者利用窃取的 GitHub 令牌公开私有存储库,并将其重命名为字符串“s1ngularity”,从而扩大了曝光度。在第三阶段,攻击者利用特定目标发布了数百个额外的私有存储库,展现了攻击者的持久性和升级性。🎯

袭击及其影响概述
奇点攻击的视觉摘要
资料来源:Wiz

Nx 项目响应和缓解措施

Nx 团队在 GitHub 上发布了一份根本原因分析报告,解释了如何在拉取请求的标题中注入代码,并结合 pull_request_target 的不安全使用,从而允许以提升的权限执行任意代码,触发发布管道并导致 npm 发布令牌的泄露。🛠️

已实施的措施包括移除恶意软件包、撤销和轮换受损令牌,以及强制所有发布者账户进行双因素身份验证。此外,Nx 采用了 NPM 的“受信任发布者”模型,并添加了 PR 触发工作流的手动审批功能。🔐📌

快速提示和要点✏️

  • ✅ 如果怀疑存在泄露,请立即审查并轮换令牌和机密。
  • 📌 避免不安全地使用 pull_request_target 并对敏感流程强制执行手动批准。
  • 🔧 实施多因素身份验证和可信发布模型,如 Trusted Publisher。
  • ⚡ 监控公共存储库并执行自动秘密搜索以便尽早发现。

定义片段和常见问题解答✨

什么是 telemetry.js?

telemetry.js 是受感染的 Nx 软件包版本中包含的恶意安装后脚本的名称;它在 Linux 和 macOS 系统上充当凭证窃取程序,以收集机密并将其泄露到攻击者控制的公共存储库中。🔍

有多少帐户和存储库受到影响?

根据 Wiz 的报告,此次攻击在事件记录的三个阶段中暴露了 2,180 个帐户和 7,200 个存储库,许多秘密仍然有效,并且存在持续影响的风险。📊


Picus Blue 报告 2025 — 封面

461 个 TP3T 环境的密码被泄露,几乎是上一年 251 个 TP3T 的两倍。获取 Picus Blue 2025 报告,全面分析数据泄露的预防、检测和趋势。📈

该报告提供了指标、建议和案例研究,以加强防御并改善对机密泄露的应对。

分享這個:
Facebook領英興趣X紅迪網豆瓣藍天執行緒數分享

相關文章:

  • 装甲 RDP:发现 10 个基本步骤!
    装甲 RDP:发现 10 个基本步骤! 🚀
    装甲 RDP:按照我们超全面的 10 步检查表,在 2025 年保护您的 RDP 🔒✨立即保护您的系统!
  • GitHub 上的 Dotfiles 轻松快速地管理 Linux!
    GitHub 上的 Dotfiles:快速轻松地管理 Linux! 🚀💻
    GitHub 上的点文件可以节省您的时间并确保安全备份。只需单击一下即可控制您的 Linux! 💻🔄⚡
  • AGI 您现在应该了解的 5 个紧急风险
    AGI:一场将改变你生活的技术革命
    AGI:看似虚构的人工智能已经到来。了解它对你来说意味着什么。 🤖🌟
  • 密码管理器
    密码管理器🚀:避免的关键……
    密码管理器🔑是轻松创建和保存安全密码的解决方案。使用这些应用防止盗窃!…
  • 人工智能和自动化代理将您的生产力提高 5 倍
    人工智能代理和自动化:节省时间和……
    人工智能和自动化代理正在彻底改变流程、减少任务并加速智能业务的成果。
  • Intel 和 AMD CPU 的等效項
    Intel 和 AMD CPU 的等效項
    您是否正在尋找與 Intel 和 AMD 處理器相當的產品?在我們的專業指南中找到您需要了解的一切。現在了解更多!

相关出版物

  • 错误事件 ID 1001:立即轻松修复! ⚡
  • AI 隐私:一键禁用 Gemini 和 Copilot 🔒
  • 人工智能代理:它们如何改变你今天的业务
  • 微软 Majorana 1:彻底改变量子计算! 🚀
  • ChatBIT:中国军事人工智能的新前沿
  • 🔥 热门树莓派:用这个技巧避免损坏⚠️
  • 在没有互联网的情况下安装 Windows 11 家庭版
  • Windows 11 备份:立即避免损失! ⚠️✨
标签: 网络安全常青内容惡意軟體
上一篇文章

图形驱动程序优化:通过一次更新即可实现 +40 % FPS。

下一期

如何检测是什么导致您的 PC 上的 Windows 运行速度变慢:立即检查。

MasterTrend 洞察

MasterTrend 洞察

我们的编辑团队分享深入的评论、教程和建议,以帮助您充分利用数字设备和工具。

下一期
如何检测是什么导致您的 PC 上的 Windows 速度变慢 - 一位女士使用带有警告标志的笔记本电脑,研究如何检测是什么导致她的 PC 上的 Windows 速度变慢,以修复速度缓慢问题并优化性能。

如何检测是什么导致您的 PC 上的 Windows 运行速度变慢:立即检查。

5 1 投票
文章評級
訂閱
使用权
通知
客人
客人
0 評論
最古老的
最新 投票最多
線上評論
查看所有評論

保持联系

  • 976 风扇
  • 118 关注者
  • 1.4千 关注者
  • 1.8千 订阅者

不要错过最新的技术和游戏。
每天提供独家提示、操作指南和分析。

订阅表格
  • 趋势
  • 评论
  • 最后的
如何在 REPO 中保存游戏

如何在 REPO 中保存你的游戏🔥 发现不丢失进度的秘诀

2025 年 1 月 7 日
如何在 Windows 11 桌面添加时钟:3 个万无一失的技巧!

如何在 Windows 11 桌面添加时钟:几分钟内完成更多工作! ⏱️

2025 年 1 月 5 日,第 1 期
12 个 Android 版 Lucky Patcher 的最佳替代品

Lucky Patcher 替代品:12 个更好、更简单的应用程序! 🎮⚡

2025年1月5日 12日
🖥️ 如何在 Windows 11 中打开“设备和打印机”:4 个简单步骤

🌟 如何在 Windows 11 中打开“设备和打印机”:惊人的技巧!

2025年1月27日
Android 版 Gmail 功能:5 个小窍门助您节省时间

Android 上的 Gmail 功能:您不知道的 5 个技巧! 📱✨

12
主板维修 - 维修主板

笔记本主板维修

10
在没有互联网的情况下安装 Windows 11 家庭版

在没有互联网的情况下安装 Windows 11 家庭版

10
如何通过 4 个步骤备份 Windows 11/10 中的驱动程序!

如何在 Windows 11/10 中备份驱动程序:避免错误! 🚨💾

10
黑暗之魂与心理健康 - 黑暗之魂骑士在黑暗地牢中与恶魔老板战斗,象征着心理健康的韧性和克服力。

黑暗之魂心理健康:抑郁症治疗的 7 个挑战⚡

2025年9月26日
GeForce RTX 5070 与 5060 Ti - NVIDIA GeForce RTX 5070 与 RTX 5060 Ti 显卡并排比较,显示尺寸和更酷的设计,以用于游戏 PC 比较。

GeForce RTX 5070 与 5060 Ti:12GB 与 16GB,好吗?⚠️

2025年9月21日
湮没负担 - 湮没(上古卷轴 IV):身穿盔甲、手持利剑的阿尔戈尼亚人凝视着赛洛迪尔的帝国城市和白金塔,主题为负担。

湮没:超载:+5 个技巧以携带更多💼⚡

2025年9月21日
Nintendo Switch 2 GPU - Nintendo Switch 2 主板上 Nvidia GPU 的特写,显示绿色 PCB 上的图形处理器和内存芯片。

Nintendo Switch 2 GPU:性能对比 RTX 2050

2025年9月21日

最新资讯

黑暗之魂与心理健康 - 黑暗之魂骑士在黑暗地牢中与恶魔老板战斗,象征着心理健康的韧性和克服力。

黑暗之魂心理健康:抑郁症治疗的 7 个挑战⚡

2025年9月26日
6
GeForce RTX 5070 与 5060 Ti - NVIDIA GeForce RTX 5070 与 RTX 5060 Ti 显卡并排比较,显示尺寸和更酷的设计,以用于游戏 PC 比较。

GeForce RTX 5070 与 5060 Ti:12GB 与 16GB,好吗?⚠️

2025年9月21日
47
湮没负担 - 湮没(上古卷轴 IV):身穿盔甲、手持利剑的阿尔戈尼亚人凝视着赛洛迪尔的帝国城市和白金塔,主题为负担。

湮没:超载:+5 个技巧以携带更多💼⚡

2025年9月21日
13
Nintendo Switch 2 GPU - Nintendo Switch 2 主板上 Nvidia GPU 的特写,显示绿色 PCB 上的图形处理器和内存芯片。

Nintendo Switch 2 GPU:性能对比 RTX 2050

2025年9月21日
44
MasterTrend 新闻徽标

MasterTrend Info 是您获取科技资讯的首选:探索硬件、软件、游戏、移动设备和人工智能领域的新闻、教程和分析。订阅我们的新闻通讯,不错过任何潮流趋势。

跟着我们

按类别浏览

  • 赌博
  • 硬體
  • 人工智能
  • 手机
  • 消息
  • 网络
  • 安全
  • 軟體
  • 教程
  • 視窗

最新资讯

黑暗之魂与心理健康 - 黑暗之魂骑士在黑暗地牢中与恶魔老板战斗,象征着心理健康的韧性和克服力。

黑暗之魂心理健康:抑郁症治疗的 7 个挑战⚡

2025年9月26日
GeForce RTX 5070 与 5060 Ti - NVIDIA GeForce RTX 5070 与 RTX 5060 Ti 显卡并排比较,显示尺寸和更酷的设计,以用于游戏 PC 比较。

GeForce RTX 5070 与 5060 Ti:12GB 与 16GB,好吗?⚠️

2025年9月21日
  • 關於我們
  • 宣布
  • 隱私權政策
  • 联系我们

版权所有 © 2025 https://mastertrend.info/ - 保留所有权利。所有商标均为其各自所有者的财产。

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
没有结果
查看所有结果
  • Chinese Chinese
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Russian Russian
    • Polish Polish
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
  • 赌博
  • 硬體
  • 人工智能
  • 手机
  • 消息
  • 网络
  • 安全
  • 軟體
  • 教程
  • 視窗

版权所有 © 2025 https://mastertrend.info/ - 保留所有权利。所有商标均为其各自所有者的财产。

評論作者訊息
:wpds_微笑::wpds_grin::wpds_wink::wpds_mrgreen::wpds_中性::wpds_扭曲::wpds_箭頭::wpds_shock::wpds_unamused::wpds_酷::wpds_邪惡::wpds_oops::wpds_razz::wpds_roll::wpds_cry::wpds_eek::wpds_哈哈::wpds_mad::wpds_悲傷::wpds_感嘆號::wpds_問題::wpds_想法::wpds_嗯::wpds_beg::wpds_whew::wpds_咯咯::wpds_silly::wpds_羨慕::wpds_shutmouth:
wpDiscuz
紅迪網藍天X乳齒象黑客新闻
分享這個:
乳齒象VKWhatsApp电报短信黑客新闻线信使
你的 Mastodon 实例