Uma investigação aprofundada revelou as consequências devastadoras do ataque à cadeia de abastecimento "s1ngularity" contra o Nx, uma popular ferramenta de gestão de código. A avaliação, conduzida pelos investigadores da Wiz, detalha a exposição de 2.180 contas e 7.200 repositórios em três fases distintas, sublinhando que o impacto continua a sentir-se, uma vez que muitos dos segredos roubados permanecem válidos.
O Nx é um sistema de compilação de código aberto amplamente utilizado em ecossistemas JavaScript/TypeScript de grande escala, com mais de 5,5 milhões de downloads semanais no registo de pacotes NPM.
Como o ataque utilizou IA para o caos
A 26 de agosto de 2025, os atacantes exploraram uma falha num fluxo de trabalho do GitHub Actions no repositório do Nx para publicar uma versão maliciosa do pacote no NPM. Esta versão incluía um script de malware pós-instalação, denominado 'telemetry.js'.
Este ficheiro malicioso funcionava como um ladrão de credenciais, visando sistemas Linux e macOS na tentativa de roubar tokens do GitHub e NPM, chaves SSH, ficheiros .env e carteiras de criptomoedas. Os dados roubados eram depois carregados para repositórios públicos no GitHub.
O que tornou este ataque particularmente invulgar foi o uso de ferramentas de linha de comandos para plataformas de inteligência artificial, como o Claude, Q e Gemini, para procurar e extrair credenciais e segredos sensíveis através de prompts de LLM. A Wiz relata que os atacantes foram afinando os prompts ao longo do ataque para melhorar a taxa de sucesso.
O rasto de destruição em três fases
Na primeira fase do ataque, entre 26 e 27 de agosto, os pacotes Nx comprometidos afetaram diretamente 1.700 utilizadores, resultando na fuga de mais de 2.000 segredos únicos e na exposição de 20.000 ficheiros dos sistemas infetados. O GitHub removeu os repositórios criados pelo atacante após oito horas, mas os dados já tinham sido copiados.
Entre 28 e 29 de agosto, na segunda fase, os atacantes usaram os tokens roubados para tornar públicos repositórios privados, comprometendo mais 480 contas, na sua maioria organizacionais, e expondo 6.700 repositórios privados.
A terceira fase, que começou a 31 de agosto, consistiu num ataque direcionado a uma única organização, onde os atacantes usaram duas contas comprometidas para publicar mais 500 repositórios privados.
A resposta da Nx e as medidas de segurança
A equipa do Nx publicou uma análise detalhada da causa-raiz no GitHub, explicando que a falha resultou de uma injeção no título de um 'pull request', combinada com o uso inseguro do 'pull_request_target'. Isto permitiu aos atacantes executar código arbitrário com permissões elevadas, acionando o processo de publicação do Nx e exfiltrando o token de publicação do NPM.
Como resposta, os pacotes maliciosos foram removidos, os tokens comprometidos foram revogados e substituídos, e foi implementada a autenticação de dois fatores em todas as contas de publicação. Para evitar futuras ocorrências, o projeto Nx adotou o modelo Trusted Publisher do NPM, que elimina a publicação baseada em tokens, e adicionou a aprovação manual para fluxos de trabalho acionados por 'pull requests'.
Nenhum comentário
Seja o primeiro!