Malicious versions of Nx and some supporting plugins were published

Суть проблемы
В npm-реестр попали вредоносные версии пакетов Nx и связанных плагинов. Злоумышленники использовали временный доступ к npm-аккаунту @nxscope и опубликовали поддельные версии 19.8.0–19.8.2.

Затронутые пакеты

nx
@nx/angular, @nx/cypress, @nx/detox, @nx/devkit, @nx/esbuild, @nx/eslint-plugin, @nx/expo, @nx/express, @nx/jest, @nx/js, @nx/nest, @nx/next, @nx/node, @nx/playwright, @nx/plugin, @nx/react, @nx/rollup, @nx/storybook, @nx/vite, @nx/web, @nx/webpack, @nx/workspace

Что делать

Удалить вредоносные версии.
Установить официальные 19.8.3 или выше.
Проверить lock-файлы и CI на наличие подозрительных версий.

Комментарии (380)

Взлом npm-пакетов Nx: злоумышленники использовали украденный токен для публикации вредоносных версий.
Малварь запускает Claude Code/Gemini CLI и через промпт ищет крипто-кошельки, ключи и прочие секреты.
Пользователи советуют: отключать post-install скрипты (npm config set ignore-scripts true), использовать pnpm/bun (игнорируют скрипты по умолчанию), ставить зависимости в Docker/VM/bubblewrap.
Поднимается вопрос: почему AI-агенты получают полный доступ к файловой системе и не изолированы по умолчанию.