GitHub в Огне: Как ИИ-атака s1ngularity вскрыла тысячи аккаунтов и репозиториев!
Специалисты по кибербезопасности из компании Wiz представили детальный анализ недавней атаки s1ngularity, направленной на популярную платформу NX. Последствия инцидента оказались колоссальными: взлом затронул 2180 учетных записей и привел к утечке данных из 7200 репозиториев.
В отчете эксперты акцентируют внимание на том, что значительная часть украденных секретов до сих пор остается действительной.
Цель атаки: Платформа NX NX представляет собой широко используемую опенсорсную платформу для сборки, предназначенную для эффективного управления кодом в масштабных проектах. Этот инструмент, позиционируемый как «платформа для сборки с фокусом на ИИ», является ключевым элементом в экосистемах JavaScript/TypeScript на корпоративном уровне.
Напомним, что в конце августа киберпреступники обнаружили и проэксплуатировали уязвимость в рабочем процессе GitHub Actions, который использовался в репозитории NX. Это позволило им опубликовать в npm вредоносную версию пакета, содержащую скрипт-зловред telemetry.js, который активировался сразу после установки.
Механизм взлома Внедренное вредоносное ПО являлось инфостилером, который был нацелен на операционные системы Linux и macOS. Его основная задача заключалась в краже токенов доступа к GitHub и npm, ключей SSH, содержимого файлов .env, а также данных криптовалютных кошельков. Вся похищенная информация оперативно загружалась в публичные репозитории на GitHub, имена которых включали фразу s1ngularity-repository.
Уникальность этой атаки заключается в том, что злоумышленники впервые использовали инструменты командной строки на базе ИИ (такие как Claude, Google Gemini и Amazon Q) для обхода защитных механизмов и автоматизации процесса эксплуатации уязвимостей в цепочке поставок.
Киберпреступники применяли ИИ для поиска и извлечения конфиденциальных данных и секретов. Аналитики Wiz отмечают, что промпты, используемые для управления ИИ, постоянно модифицировались, что свидетельствует о тонкой настройке атаки для достижения максимальной эффективности.
Команда разработчиков NX провела собственное расследование и опубликовала на GitHub подробный отчет о первопричинах инцидента. Согласно их данным, взлом стал возможен из-за уязвимого workflow, который позволял внедрять исполняемый код через специально сформированный заголовок pull-запроса.
Этапы и последствия атаки Эксперты Wiz подсчитали, что на начальном этапе, который длился с 26 по 27 августа, зараженные пакеты NX напрямую затронули около 1700 пользователей. Это привело к утечке свыше 2000 уникальных секретов и компрометации 20 000 файлов из систем жертв.
Важно отметить, что на первом этапе в пакеты NX было внедрено как минимум три различных варианта вредоносной нагрузки.
Специалисты GitHub отреагировали на инцидент и в течение восьми часов удалили репозитории, созданные злоумышленниками. Однако этого времени оказалось достаточно для кражи значительного объема данных.
С 28 по 29 августа атака перешла во вторую фазу. Киберпреступники начали использовать украденные токены GitHub для изменения статуса приватных репозиториев на публичные, переименовывая их по шаблону s1ngularity-repository-#5символов#. В результате были скомпрометированы еще 480 учетных записей, большинство из которых принадлежали организациям, и раскрыта информация из 6700 частных репозиториев.
Третий этап начался 31 августа и был направлен на конкретную организацию, название которой не раскрывается. Хакеры, используя два ранее скомпрометированных аккаунта, опубликовали еще 500 приватных репозиториев. Эти репозитории имели приставку _bak в названии и содержали слово s1ngularity в описании.
Текущая угроза Эксперты предполагают, что реальное число пользователей, загрузивших вредоносные версии NX, может быть значительно выше официальных цифр.
Более того, около 100 уникальных токенов npm, что составляет более 40% от всех украденных на первом этапе, по-прежнему активны. В то же время, благодаря оперативным действиям, активными остаются лишь 5% скомпрометированных токенов GitHub, что, тем не менее, все еще представляет серьезную угрозу.