Cyberaanvallers proberen sinds deze week via malafide versies van Nx gevoelige data van developers te stelen. Legitiem ogende varianten van de Nx-build system waren publiekelijk lokaas via de npm registry. Hoewel GitHub al actie genomen heeft, kaart Wiz aan dat er nog steeds compromissen plaatsvinden.
Nx wordt voornamelijk gebruikt door JavaScript- en TypeScript-developers voor het beheren van softwareprojecten. Veelal gaat het om complexe codebases, waarbij Nx het overzicht bewaart en ervoor zorgt dat verschillende componenten goed samen blijven werken.
De malafide Nx-versies verschenen afgelopen dinsdag online. Ze bevatten een script dat na installatie op jacht ging naar gevoelige gegevens van ontwikkelaars. Wiz Threat Research merkt op dat onder meer cryptovaluta, tokens voor GitHub en npm en SSH keys de beoogde buit vormen. De aanvalscampagne staat bekend onder de naam ‘s1ngularity’, een naam die terug te zien is in gecompromitteerde repositories die zijn hernoemd.
AI schiet de aanvallers te hulp
Opvallend is dat command-line assistenten als Claude, Gemini en Amazon Q de aanvallers hielpen met hun zoektocht. Wat volgde was een periode van 8 uur waarin getroffen gebruikers hun data konden verliezen; daarna stopte GitHub de exfiltratiepogingen. Wiz ontdekte op woensdag 27 augustus dat deze poging onvoldoende was: nieuwe repo’s kwamen er weer bij.
Gisteren bleek de root cause te zitten in een fout binnen een GitHub Actions-workflow. Hierdoor was code-injectie mogelijk via pull request-titels die niet werden gecontroleerd. Nieuwe branches hebben een fix, maar oude varianten blijven in gebruik. Op dezelfde dag ontdekte Wiz en securityonderzoeker Adnan Khan dat een nieuwe golf plaatsvond en private repo’s publiek maakte. 3.000 repositories zijn getroffen van meer dan 190 gebruikers/organisaties, aldus Wiz.
Compromis
Een malafide telemetry.js-bestand, enkel werkzaam op Linux en macOS, voerde het werk van de aanvallers op afstand uit. Dit proces was ontdekt door Step Security. Daarbij hielpen command-line assistenten veelal bij de data-exfiltratie, ook al werkten de AI-guardrails soms.
Het opruimlijstje voor organisaties is duidelijk. Malafide Nx-varianten moeten worden verwijderd en vervangen door een nieuwe, veilige versie. Kwaadaardige shell entries dienen ook te worden geëlimineerd, terwijl de aanwezigheid van /tmp/inventory.txt en .bak ongewenst is.
Daarnaast adviseert Wiz de gebruikelijke stappen om dergelijke compromissen te voorkomen of te mitigeren: het checken van audit logs voor malafide API-gebruik, het regeneren van relevante tokens en keys en het veiligstellen van eventuele cryptovaluta.
Lees ook: GitHub Actions opnieuw doelwit van supply chain-aanval