供应链攻击作为网络安全领域的一大隐患,其复杂性和破坏力正日益引起业界高度关注。2025年8月底,一场针对流行的开发工具和持续集成持续交付(CI/CD)优化系统Nx的供应链攻击曝光,敲响了开发者和企业安全的警钟。该事件波及数百万开发者,涉及敏感信息泄露,对Linux与macOS用户构成严重威胁。本文将深入分析此次攻击背后的技术细节、攻击路径、受影响范围,以及企业和个人应采取的应对措施,助力读者全面了解和防范类似供应链安全事件。 Nx构建平台及其生态的重要性不可忽视。作为一款帮助开发者优化和加速应用构建的工具,Nx在npm包管理器上的周度下载量超过五百万,覆盖众多开发者和企业项目。
供应链攻击通过Nx的恶意篡改,利用其被大量采用的特点实现了快速广泛的传播,给软件开发流程带来极大风险。 攻击始于2025年8月26日夜间。黑客通过渗透Nx包维护者的npm令牌成功发布了多个携带恶意脚本的Nx版本。这些版本含有一个名为telemetry.js的后安装恶意脚本,针对Linux及macOS环境设计,执行后能自动搜索多种敏感数据,包括多个主流加密货币钱包(如MetaMask、Ledger、Trezor等)、GitHub个人访问令牌、npm访问令牌、环境变量文件及RSA私钥等。这些数据被恶意收集后通过多重Base64编码后上传至攻击者在GitHub上创建的公开仓库,导致大量机密信息暴露。 值得注意的是,恶意脚本甚至针对安装了特定大型语言模型(LLM)命令行工具的系统发起查询,包括Anthropic Claude、Amazon Q、Google Gemini等,显示攻击者对人工智能工具的利用和关注。
此外,恶意脚本没有选择隐蔽行动,而是在登陆shell配置文件中注入了sudo shutdown命令,使得每次新开启的终端会话都会触发系统关机,极大干扰了受害者的正常使用。 攻击的成因一方面源于Nx项目在2025年8月21日至24日期间使用了存在任意代码注入风险的GitHub工作流,攻击者借机篡改发布流程,窃取了关键npm令牌。虽然相关漏洞已及时修补,但令牌泄露未被迅速发现,导致后续的恶意版本发布。另一方面,供应链攻击利用了软件开发、发布和依赖管理链条中经常缺乏足够监控与防护的薄弱环节,放大了安全隐患。 此次事件对Linux和Mac用户影响巨大。因为Nx包被广泛应用于这些系统环境的开发中,恶意脚本一旦执行就可能导致核心凭证和密钥被窃取。
被泄露的重要令牌包括GitHub个人访问令牌(PATs)、npm令牌、SSH密钥和API密钥,这不仅危及受害开发者本身帐户安全,也为攻击者日后利用这些信息实施更深层的渗透提供了渠道。 随着泄露数据迅速被公开并多次下载,GitHub在事件曝光后仅用了半天时间将相关仓库设为私有并禁止搜索,但信息已经暴露超九小时,带来极大的安全风险。这暴露了大规模供应链攻击带来的连锁反应和应急响应难点,体现了提升软件供应链透明度与自动化安全防御的紧迫性。 针对此次攻击,用户和组织需立即采取多项措施。首先,识别是否使用了受影响版本的Nx包,借助npm和包管理工具筛查版本号,尽快卸载恶意版本并清理缓存。其次,检查GitHub仓库中是否存在名为s1ngularity-repository*的恶意仓库,及时下载并核查相关上传文件,同时删除恶意仓库以防信息持续泄露。
清理系统时应重点检查和修复shell配置文件(~/.bashrc和~/.zshrc)中的异常关机命令,清理与攻击相关的临时文件。一旦确认系统曾被感染,必须迅速更换所有可能被窃取的密钥和访问令牌,确保账户资质安全。此外,应启用多因素认证(MFA)以增加账户保护层级,防止凭证泄漏带来的远程入侵风险。 企业安全团队还应加强对构建流水线的监控和日志审计,定期核查代码仓库和依赖库的安全状态,利用自动化工具快速发现异常行为。针对供应链攻击,推荐构建零信任安全架构,限制令牌和秘钥的权限范围,定期轮换证书密钥,确保即使令牌泄露也难以被攻击者持续利用。 从更广泛的角度看,供应链攻击对整个软件生态系统提出了警示。
软件包的每日更新和持续集成流程虽然提高了开发效率,但也带来了潜在的风险链条。提升依赖管理的安全性、增强维护者身份认证措施、引入安全代码审核自动化机制成为行业重点发展方向。发包方和开发者要共同承担责任,共筑安全防线。 结合本次事件,Linux和Mac用户更应重视系统安全硬化。确保操作系统和开发环境及时打补丁,禁用非必要的运行权限,定期备份关键数据。在敏感环境中运行开发工具时,建议隔离网络环境和关键凭据,减少被恶意程序直接访问的可能性。
总结来说,2025年8月Nx平台遭遇的供应链攻击揭示了现代开发环境中被忽视的安全盲区。这起事件的影响广泛引发了行业对供应链安全的聚焦。对开发者而言,要将安全意识植入常规开发流程,提升对第三方库和工具的鉴别能力。对于企业,构建完善的安全策略和快速响应机制是遏制未来类似事件的关键。 随着技术的演进,供应链攻击可能变得更加隐蔽和复杂。唯有通过持续的安全实践创新、技术投入以及社会组织的协同防护,才能有效遏制攻击者的野心,保障Linux和Mac用户的数字资产安全。
安全并非一时之功,而是贯穿产品生命周期的持续过程。在这一过程中,开发者、运维人员与安全专家需通力合作,共同应对日益严峻的网络威胁环境。 。
