Nx compromised: malware uses Claude code CLI to explore the filesystem
9 months ago
- #github
- #security
- #malware
- 至少1.4k名GitHub用户存在名为's1ngularity-repository'的恶意仓库,该仓库由被入侵的nx构建工具包在安装后命令自动创建
- 恶意软件会窃取钱包凭证、API密钥等敏感数据,并将其加密存储在仓库内的results.b64文件中
- 该程序会检测系统是否安装Claude Code CLI或Gemini CLI,从而将可指纹识别的代码转移到提示词中增加检测难度
- 受影响nx版本:21.5.0至v21.8.0及v20.6.0至v20.12.0,相关版本已从npm下架
- 用户应检查是否存在恶意仓库,升级至安全版本(如21.4.1),并轮换所有可能泄露的密钥
- 恶意软件利用nx的安装后钩子执行telemetry.js脚本,转储环境变量并通过GitHub CLI创建仓库
- 攻击手法创新点在于利用Claude/Gemini等LLM工具,通过精心设计的提示词搜索钱包和密钥相关文件
- 事件时间线显示恶意版本发布于2025-08-26,npm接到报告后下架软件包并通知组织所有者
- GitHub官方已发布安全公告,为受影响用户提供详细修复指南