Satu pelanggaran keselamatan besar telah menggegarkan komuniti pembangunan JavaScript apabila sistem pembinaan NX yang popular menjadi mangsa serangan rantai bekalan yang canggih yang menggunakan kecerdasan buatan untuk mencuri data sensitif pembangun. Sekurang-kurangnya 1,400 pembangun mendapati repositori berniat jahat dicipta dalam akaun GitHub mereka, mengandungi dompet yang dicuri, kunci API, dan kelayakan lain.
Serangan tersebut menyasarkan NX , alat pembinaan monorepo yang digunakan secara meluas yang melayani 2.5 juta pembangun setiap hari dan digunakan oleh lebih 70% syarikat Fortune 500 . Versi berniat jahat telah diterbitkan ke npm antara 26-27 Ogos 2025, menjejaskan versi 21.5.0-21.8.0 dan 20.6.0-20.12.0.
Versi NX yang Terjejas:
- v21.5.0 - v21.8.0
- v20.6.0 - v20.12.0
Garis Masa Serangan:
- 2025-08-26 ~06:00 PM PDT: Versi berniat jahat diterbitkan
- 2025-08-26 ~08:30 PM PDT: Laporan pertama pengguna mengenai aktiviti mencurigakan
- 2025-08-26 ~10:45 PM PDT: npm mengeluarkan versi yang terjejas
- 2025-08-27 ~01:00 AM PDT: Skop tambahan dikenal pasti
Kecurian Data Berkuasa AI Menandakan Vektor Serangan Baharu
Apa yang menjadikan pelanggaran ini amat membimbangkan ialah penggunaan inovatif penyerang terhadap alat baris arahan AI seperti Claude Code dan Gemini CLI untuk mengautomasikan penemuan fail sensitif. Daripada mengkodkan keras corak carian yang mungkin dikesan oleh alat keselamatan, perisian hasad hanya mengarahkan pembantu AI ini untuk mencari dompet mata wang kripto, kunci peribadi, dan data berharga lain pada sistem yang dijangkiti.
Kod berniat jahat dilaksanakan melalui skrip pasca-pemasangan NX , mengimbas alat AI dan kemudian menggesa mereka untuk mencari fail yang sepadan dengan corak berkaitan dompet di seluruh sistem pengguna. Pendekatan ini membolehkan penyerang memindahkan sebahagian besar kerja cap jari mereka kepada gesaan AI , menjadikan pengesanan jauh lebih sukar untuk alat keselamatan tradisional.
Respons Komuniti Menonjolkan Kebimbangan Keselamatan yang Lebih Luas
Reaksi komuniti pembangun telah pantas tetapi terbahagi mengenai tanggungjawab dan pencegahan. Ramai yang mempersoalkan mengapa pembantu pengekodan AI mempunyai akses sistem fail yang begitu luas secara lalai, manakala yang lain menunjukkan kepada kelemahan asas dalam keselamatan pengurus pakej.
Paradigma keselamatan berbilang pengguna Unix sahaja tidak mencukupi lagi dalam dunia pengguna tunggal hari ini yang menjalankan aplikasi tidak dipercayai.
Beberapa pembangun kini mengadvokasikan untuk kotak pasir yang lebih ketat bagi alat pembangunan dan pembantu AI . Ada yang telah berpindah untuk menjalankan semua kerja pembangunan dalam mesin maya atau bekas untuk mengehadkan potensi kerosakan daripada serangan yang serupa.
Insiden ini juga telah mencetuskan perdebatan mengenai model keselamatan npm , dengan ramai yang menyeru penandatanganan kod mandatori dan pengesahan yang lebih baik terhadap penerbit pakej. Pada masa ini, menjejaskan satu token API boleh membenarkan penyerang menerbitkan kemas kini berniat jahat kepada pakej yang digunakan secara meluas.
Statistik Kesan:
- Sekurang-kurangnya 1,400 pengguna terjejas yang disahkan
- 2.5 juta pembangun menggunakan NX setiap hari
- Lebih 70% daripada syarikat Fortune 500 menggunakan NX
- Beribu-ribu token GitHub yang sah diperhatikan telah bocor
- Berpuluh-puluh kelayakan awan yang sah dan token NPM telah terjejas
- Kira-kira 20,000 fail bocor secara keseluruhan
Tindakan Segera untuk Pembangun yang Terjejas
Pembangun yang menggunakan versi NX yang terjejas harus segera memeriksa akaun GitHub mereka untuk repositori bernama singularity-repository atau varian serupa. Ini mengandungi pembuangan data yang dicuri yang dikodkan base64 yang dicipta secara automatik oleh perisian hasad.
Serangan tersebut juga mengubah suai fail konfigurasi shell untuk menambah arahan penutupan, dengan berkesan mewujudkan keadaan penafian perkhidmatan untuk sesi terminal baharu. Pengguna yang terjejas perlu membersihkan fail .bashrc dan .zshrc mereka sambil memutar semua kelayakan yang berpotensi terjejas termasuk token GitHub , kunci npm , kunci SSH , dan akses dompet mata wang kripto.
Pengurus pakej seperti pnpm dan bun menawarkan perlindungan secara lalai, kerana mereka tidak melaksanakan skrip pemasangan secara automatik. Ini telah memperbaharui seruan untuk npm mengamalkan pendekatan keselamatan-dahulu yang serupa.
Cadangan Keselamatan:
- Lumpuhkan skrip npm install secara global:
npm config set ignore-scripts true - Gunakan pengurus pakej seperti pnpm atau bun yang tidak melaksanakan skrip secara lalai
- Jalankan alat pembangunan dalam bekas sandbox atau VM
- Semak repositori berniat jahat:
singularity-repository*dalam akaun GitHub - Tukar semua kelayakan yang berpotensi terjejas ( GitHub , npm, kunci SSH , dompet kripto)
Memandang ke Hadapan: Realiti Baharu Serangan Dipertingkat AI
Pelanggaran ini mewakili momen penting untuk keselamatan rantai bekalan perisian. Apabila alat AI menjadi lebih berleluasa dalam aliran kerja pembangunan, mereka mewujudkan permukaan serangan baharu yang langkah keselamatan tradisional tidak direka untuk mengendalikan.
Insiden ini menunjukkan bagaimana penyerang menyesuaikan diri untuk memanfaatkan alat AI yang sama yang dipercayai oleh pembangun setiap hari. Dengan keupayaan untuk menyesuaikan secara dinamik kepada konfigurasi sistem yang berbeza melalui gesaan bahasa semula jadi, serangan masa depan mungkin menjadi lebih canggih dan lebih sukar untuk diramalkan.
Bagi komuniti pembangunan yang lebih luas, ini berfungsi sebagai amaran mengenai implikasi keselamatan alat pembangunan dibantu AI dan keperluan mendesak untuk model kotak pasir dan kebenaran yang lebih baik dalam persekitaran pembangunan moden.
Rujukan: Security Alert | NX Compromised to Steal Wallets and Credentials