Nx compromised: malware uses Claude code CLI to explore the filesystem

Критическая уязвимость в NX
NX (Nrwl) скомпрометирован: злоумышленники внедрили вредоносный код, крадущий кошельки и учётные данные.

Что случилось: в пакетах @nx/nx-linux-x64-gnu, @nx/nx-linux-x64-musl, @nx/nx-win32-x64-msvc обнаружен backdoor.
Как работает: при установке пакета запускается скрипт, который крадёт файлы .env, wallet.dat, id_rsa и отправляет их на сервер злоумышленников.
Кто под угрозой: все, кто установил заражённые версии с 2024-06-01 по 2024-06-05.
Что делать:
1. Проверить версию NX: nx --version.
2. Обновиться до последней версии (≥19.1.1).
3. Проверить проект на наличие подозрительных скриптов в node_modules/.bin.
4. Сменить все пароли и ключи, хранившиеся в проекте.

Semgrep уже выпустил правило для обнаружения вредоносного кода:

semgrep --config=auto .

Компрометация npm-токена позволила злоумышленнику встроить вредоносный post-install-скрипт в популярные пакеты Nx.
Скрипт проверяет наличие Claude Code / Gemini CLI и использует LLM для поиска секретов, обходя статический анализ.
Участники советуют отключать npm-скрипты (ignore-scripts true), использовать pnpm/bun, изолировать установку в контейнеры/VM и минимизировать зависимости.
Подчёркивается, что AI-агенты, запускаемые без песочницы, становятся мощным вектором атаки.