2025年8月26日、npmレジストリが侵害され、 広く普及している Nx ビルドシステムパッケージの複数の悪質なバージョン (@nrwl /nx、 nx、および関連モジュール) が公開されました。これらのバージョンにはインストール後のスクリプト (telemetry.js)LinuxおよびmacOSシステムでサイレントに実行されました。ペイロードは、暗号通貨ウォレット、GitHub および npm トークン、SSH キーなど、非常に機密性の高い開発者資産を密かに収集しました。
脅威は特に陰湿なものでした。マルウェアは、無謀なフラグを使用してAI CLIツール(Claude、Gemini、Qなど)を兵器化しました(--権限を危険なほどスキップする、 --ヨロ、 --すべてのツールを信頼する)偵察と潜入をエスカレートさせるため。盗まれた認証情報とファイルはエンコードされ (2 進数と 3 進数 64)、攻撃者が管理する GitHub リポジトリ (よく名前が付けられる) に公開されました。 1ngularity-リポジトリ、 -0、または -1、それらを一般に公開します。
GitHubは迅速に行動し、2025年8月27日午前9時(UTC)に、攻撃者が作成した既知のリポジトリをすべて無効にしましたが、それはイベントから約8時間後のことでした。
どのバージョンが影響を受けましたか?
影響を受けるパッケージには以下が含まれますが、これらに限定されません。
@nrwl /nx、nx: バージョン 20.9.0、20.10.0、20.11.0、20.12.0、21.5.0、21.6.0、21.7.0、21.8.0@nx /devkit: 21.5.0、20.9.0@nx /エンタープライズクラウド: 3.2.0@nx /eslint: 21.5.0@nx /js: 21.5.0、20.9.0@nx /キー: 3.2.0@nx /node: 21.5.0、20.9.0@nx /ワークスペース: 21.5.0、20.9.0
妥協の範囲は広大でした。マルウェアは NX VSCode 拡張機能を介して開発者のマシン上で実行された場合もあれば、GitHub Actions などのビルドパイプライン内で実行された場合もあります。
それが意味したこと
この事件は、AIを活用した現代のサプライチェーン攻撃の壊滅的な可能性を浮き彫りにしました。明らかな警告を発生させずに信頼できるパッケージをインストールしたことで、開発者はうっかりして無数の機密資産を公開してしまいました。攻撃者のリポジトリが公開されると、データエスケープによってこれが現実的かつ具体的に明らかになります。
Exaforceの対応:迅速かつプロアクティブ
顧客への影響がないことの保証
攻撃を知るとすぐに、 エクサフォース MDR チーム 顧客環境全体でプロアクティブなチェックを実施しました。結果は明確で心強いものでした。
- 侵害された Nx パッケージバージョンをインストールしたお客様はいませんでした。
- お客様の GitHub アカウント、インフラストラクチャ、またはパイプライン内に、悪意のあるリポジトリが作成されたり、存在したりしたことはありません。
この先を見越した検証により、これまでのところ、このサプライチェーンの侵害による影響を受けた顧客はいないことがわかりました。攻撃による影響はなかったことを、お客様が希望するメッセージングプラットフォームを通じて迅速に通知しました。
リスク監視の強化
将来のサプライチェーンの侵害に対する防御を強化するために、Exaforceは新しいサプライチェーンセキュリティリスクルールを導入しました。このルールは、お客様の環境を継続的にスキャンして、最近の @nrwl /nx 侵害で使用されたものと同様の疑わしいリポジトリパターンがないか調べます。
具体的には、攻撃者が盗み出したシークレットや盗まれた認証情報を公開するために使用した命名規則に基づいて、悪意のあるリポジトリと一致するリポジトリにフラグを立てます。このルールは、こうしたリスクの高いパターンを早期に明らかにすることで、不正なリポジトリが武器化される前に迅速にレビュー、検証、削除できるようにします。
迅速で簡単な調査
また、Exabot Searchを使用すると、アナリストはNxサプライチェーン攻撃などのイベントが環境全体に及ぼす潜在的な影響をすばやく確認できます。「github の脆弱性に関するこのブログを読んでいただけますか:https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware」のようなクエリで IOC を検索できます。侵害の兆候を抽出して、私の環境が影響を受けているかどうかを教えてください。`.Exabot Searchは、さまざまなソースからのイベントを相互に関連付け、構造化された読みやすい形式で結果を返します。これにより、インシデントや新たな脅威がシステムに影響しているかどうかを判断するのに必要な時間を短縮できます。
以下のデモのワークフローを参照してください。
最終的な考え
今回のs1ngularity事件は、現代の脅威アクターがいかにAIツールを活用してイノベーションを起こし、サプライチェーンの信頼を悪用しているかを痛感させてくれます。Exaforceの迅速な対応は、顧客への露出がゼロであることを検証し、検知メカニズムを積極的に強化することで、いかに警戒と対応策が潜在的な災害を制御されたイベントに変えることができるかを示しています。常に警戒を怠らず、リスクベースの検出ルールを用意し、パッケージだけでなく行動を監視することで、次世代の攻撃も早期に発見できるようにしています。
