Исследователи безопасности StepSecurity, Semgrep и Aikido Security сообщили о новом способе воровства данных при помощи инструмента для работы с монорепозиториями Nx и ИИ-ассистентов Claude Code CLI и Gemini CLI. Неизвестный злоумышленник (или группа злоумышленников) нашли способ заразить Nx, чтобы при установке он запускал скрытый скрипт. Этот скрипт проверял, есть ли на компьютере помощники-ИИ вроде Claude CLI или Gemini CLI — и если находил, то заставлял их по своей команде искать криптокошельки, ключи и токены.
Из-за уязвимости в GitHub Actions злоумышленники получили доступ к npm-токену команды Nx и выпустили несколько зараженных версий: 20.9.0–20.12.0 и 21.5.0–21.8.0. Заражённые версии распространялись примерно пять часов, пока проблему не заметили и не удалили с npm. Этого хватило, чтобы тысячи разработчиков успели скачать зараженный вариант. Причем под удар попали и те, кто просто пользовался IDE-плагином Nx Console: он автоматически проверял последнюю версию и тем самым запускал скрипт даже без прямой установки Nx.
В зараженных версиях Nx оказался файл telemetry.js со скриптом, который при запуске проверял, есть ли у разработчика установленные ИИ-ассистенты вроде Claude Code CLI или Gemini CLI. Они могут управлять компьютером через командную строку — поэтому скрипт выдавал ИИ-ассистенту промпт на поиск и сбор чувствительных данных. Чтобы ассистенты не спрашивали разрешений, команда запускалась с флагами наподобие —dangerously-skip-permissions. Все найденные данные кодировались и загружались в публичный репозиторий GitHub от имени самой жертвы, а в системные файлы ~/.bashrc и ~/.zshrc добавлялась команда sudo shutdown -h 0, из-за которой при следующем открытии терминала компьютер пытался выключиться.
По данным исследователей, на GitHub уже найдено более 1400 автоматически созданных репозиториев с украденными данными — это значит, что многие аккаунты могли быть скомпрометированы. После обнаружения атаки зараженные версии удалили, а команда Nx заблокировала украденный токен и выпустила чистые релизы. GitHub начал скрывать подозрительные репозитории, созданные автоматически от имени жертв.
Эксперты советуют разработчикам проверить свои репозитории на наличие папок singularity-repository, заменить все ключи и пароли на новые, обновить зависимости до безопасной версии Nx, а также проверить системные файлы на наличие лишних строк. Интересной особенностью данной атаки стало то, что ее авторы фактически смогли «заставить» популярные ИИ-инструменты работать против своих пользователей, нанеся им ущерб.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть», где я рассказываю про ИИ с творческой стороны.
Источник: habr.com