Vercel News
·
s1ngularity:Nx包中的供应链攻击
💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
2025年8月26日,攻击者在npm注册表发布了恶意Nx包,窃取开发者凭证。受影响的包已被Nx团队移除,Vercel用户默认不受影响。建议检查其他环境的安全性。
🎯
关键要点
- 2025年8月26日,攻击者在npm注册表发布了恶意Nx包,窃取开发者凭证。
- 受影响的包已被Nx团队移除,移除时间为同日晚上10:44。
- 恶意包包含一个postinstall脚本,利用LLM扫描用户文件系统以窃取凭证。
- 被窃取的凭证以编码字符串形式发布到受害者的GitHub账户中。
- Vercel用户默认不受影响,但在特定条件下可能会受到影响。
- 需要满足四个条件才能从Vercel构建中窃取数据。
- 新构建无法下载受影响的包,Nx团队已从npm中移除这些包。
- Vercel团队已通知少数用户,他们在构建过程中安装了恶意包。
❓
延伸问答
恶意Nx包是如何窃取开发者凭证的?
恶意Nx包通过一个postinstall脚本扫描用户文件系统,窃取凭证并将其以编码字符串形式发布到受害者的GitHub账户中。
Vercel用户会受到恶意Nx包的影响吗?
默认情况下,Vercel用户不受影响,但在特定条件下可能会受到影响。
Nx团队对恶意包采取了什么措施?
Nx团队在2025年8月26日晚上10:44之前已将受影响的包从npm注册表中移除。
如何检查我的环境是否受到恶意Nx包的影响?
建议访问GitHub的安全公告,检查本地或其他CI环境是否受到影响。
恶意Nx包的发布时间是什么时候?
恶意Nx包于2025年8月26日下午6:32发布。
Vercel构建中需要满足哪些条件才能窃取数据?
需要满足四个条件,包括安装GitHub CLI和特定的CLI工具,并且构建中必须安装受影响的Nx包。
➡️
