Un attacco supply chain ha recentemente colpito il popolare sistema di build open source nx, compromettendo la sicurezza di migliaia di sviluppatori e aziende. Gli attaccanti sono riusciti a pubblicare versioni malevole del pacchetto npm nx e di diversi plugin associati, introducendo codice in grado di raccogliere credenziali sensibili e inviarle a repository GitHub controllati dagli stessi aggressori sotto il nome s1ngularity-repository.
Il vettore di attacco
Il vettore di attacco è stato individuato in una vulnerabilità del workflow GitHub, aggiunta il 21 agosto 2025, che permetteva di iniettare codice eseguibile tramite titoli appositamente costruiti nelle pull request. Nonostante la rapida rimozione della funzionalità dal branch principale, i criminali informatici hanno sfruttato un branch obsoleto ancora vulnerabile, riuscendo così a ottenere il token npm necessario per pubblicare le versioni compromesse dei pacchetti.
Funzionalità malevole e impatto
Le versioni malevole includevano uno script postinstall che, dopo l’installazione, scansionava il file system alla ricerca di file di testo, chiavi SSH, credenziali e file .gitconfig, inviando il tutto codificato in Base64 a repository GitHub pubblici. Inoltre, lo script modificava i file .zshrc e .bashrc per inserire comandi che potevano portare allo spegnimento immediato del sistema, inducendo l’utente a inserire la propria password di sistema.
Nel corso dell’incidente sono stati esfiltrati 2349 segreti tra cui token OAuth GitHub, personal access token, credenziali cloud e API key di servizi come Google AI, OpenAI, AWS, OpenRouter, Anthropic Claude, PostgreSQL e Datadog. Analisi successive hanno evidenziato che il 90 percento dei token GitHub raccolti risultava ancora valido, mentre sono stati rilevati anche numerosi token npm e credenziali cloud legittime. La compromissione è avvenuta soprattutto su sistemi Linux e macOS, spesso attraverso l’estensione Visual Studio Code dedicata a nx.
Innovazione nell’attacco e strumenti AI
Un aspetto particolarmente innovativo dell’attacco è stato l’abuso di strumenti AI installati tramite CLI, come Claude Code, Google Gemini CLI e Amazon Q CLI, sfruttati con flag pericolosi per eseguire ricognizione e furto dati oltrepassando i confini di sicurezza tradizionali. Si stima che il malware abbia avuto successo soprattutto su sistemi macOS e che circa un terzo dei computer compromessi avesse almeno un client LLM installato, segnalando un crescente interesse degli attori malevoli verso lo sviluppo AI.
Raccomandazioni per gli sviluppatori
Gli sviluppatori che hanno installato le versioni compromesse sono invitati a ruotare le proprie credenziali GitHub e npm, verificare l’integrità dei file .zshrc e .bashrc e adottare l’autenticazione a due fattori. L’incidente evidenzia la crescente sofisticazione degli attacchi supply chain e l’importanza di trattare gli agenti AI locali con le stesse cautele riservate alle automazioni privilegiate.