史上首例：NPM包Nx被投毒，开发人员遭AI软件供应链攻击

混淆既是艺术

Nx 是NPM生态系统遭软件供应链攻击的最新目标。本周二晚，Nx的多个恶意版本被上传到NPM注册表中。

Wiz 公司的研究人员提到，这些遭投毒的 Nx 包遭恶意软件感染，可嗅探开发人员的机密，如 GitHub 和 NPM令牌、SSH密钥以及加密钱包详情。

Nx 在 GitHub 发布安全公告，详细说明了受影响版本的详情并提到，成功收割凭据可导致这些凭据被发布在 GitHub 平台，当作相应用户账号下的公开仓库。

Nx是一款开源代码库管理平台，自称在NPM上的每月下载量可达到2.44亿次，从理论上来讲可捕获大量开发人员的详情。StepSecurity 公司的联合创始人 Sshish Kurmi 提到，“鉴于 Nx 生态系统的热门度以及AI工具滥用的创新性，该事件凸显了供应链攻击的复杂性不断演进。立即修复对于安装这些受陷版本的任何人而言都至关重要。”

Wiz 公司表示，包含这些被盗机密的仓库仍然存在且在GitHub 识别并禁用前大概8个小时的时间里仍然可下载。至于攻击者是如何访问 Nx 的 NPM 账号，Wiz 表示目前的结论是具有在受陷包中进行发布的一个令牌通过未知手段遭攻陷。不过，该公司表示，在攻击发生时，维护人员账号均启用了双因素认证机制，尽管发布时并无需该机制，且这些账号在受一个验证机制监控以验证发布是否合法。

而声称其平台广泛用于70%的财富500强公司的Nx 平台并未说明受陷用户的数量。不过Wiz公司通过邮件证实称，超过1000个合法的 GitHub 令牌被泄露，约2万个文件被盗和遭泄露，以及数十个有效的云凭据和NPM令牌被盗。

从该项目维护人员的时间线来看，这些恶意包在8月26日UTC 22:32被发布在 NPM 上，之后在2个多个小时内仍然有后续发布。NPM 在UTC 02:58收到通知并在不到1小时的时间内删除了所有受影响版本。认为自己受影响的用户应联系Nx 支持团队，判断自己的数据是否受陷。