Vercel News
·
s1ngularity:Nx包中的供应链攻击
内容提要
2025年8月26日,攻击者在npm注册表发布了恶意Nx包,窃取开发者凭证。受影响的包已被Nx团队移除,Vercel用户默认不受影响。建议检查其他环境的安全性。
关键要点
-
2025年8月26日,攻击者在npm注册表发布了恶意Nx包,窃取开发者凭证。
-
受影响的包已被Nx团队移除,移除时间为同日晚上10:44。
-
恶意包包含一个postinstall脚本,利用LLM扫描用户文件系统以窃取凭证。
-
被窃取的凭证以编码字符串形式发布到受害者的GitHub账户中。
-
Vercel用户默认不受影响,但在特定条件下可能会受到影响。
-
需要满足四个条件才能从Vercel构建中窃取数据。
-
新构建无法下载受影响的包,Nx团队已从npm中移除这些包。
-
Vercel团队已通知少数用户,他们在构建过程中安装了恶意包。
延伸解读
供应链攻击的风险
此次事件突显了供应链攻击的潜在风险,尤其是在开源软件生态系统中。开发者在使用第三方包时,需保持警惕,确保所用包的来源可信,避免因恶意代码而导致凭证泄露。
Vercel用户的安全性
虽然Vercel用户默认不受影响,但仍需注意特定条件下可能的风险。用户应定期检查构建环境,确保未安装任何受影响的包,并遵循安全最佳实践,以降低潜在威胁。
恶意包的快速响应
Nx团队在发现恶意包后迅速采取行动,及时移除受影响的包。这一反应速度对于保护开发者和用户的安全至关重要,强调了及时监测和响应的重要性。
延伸问答
恶意Nx包是如何窃取开发者凭证的?
恶意Nx包通过一个postinstall脚本扫描用户文件系统,窃取凭证并将其以编码字符串形式发布到受害者的GitHub账户中。
Vercel用户会受到恶意Nx包的影响吗?
默认情况下,Vercel用户不受影响,但在特定条件下可能会受到影响。
Nx团队对恶意包采取了什么措施?
Nx团队在2025年8月26日晚上10:44之前已将受影响的包从npm注册表中移除。
如何检查我的环境是否受到恶意Nx包的影响?
建议访问GitHub的安全公告,检查本地或其他CI环境是否受到影响。
恶意Nx包的发布时间是什么时候?
恶意Nx包于2025年8月26日下午6:32发布。
Vercel构建中需要满足哪些条件才能窃取数据?
需要满足四个条件,包括安装GitHub CLI和特定的CLI工具,并且构建中必须安装受影响的Nx包。
