Hacker News Digest

Тег: #nx

Постов: 2

Nx compromised: malware uses Claude code CLI to explore the filesystem (semgrep.dev) 🔥 Горячее 💬 Длинная дискуссия

Критическая уязвимость в NX
NX (Nrwl) скомпрометирован: злоумышленники внедрили вредоносный код, крадущий кошельки и учётные данные.

  • Что случилось: в пакетах @nx/nx-linux-x64-gnu, @nx/nx-linux-x64-musl, @nx/nx-win32-x64-msvc обнаружен backdoor.
  • Как работает: при установке пакета запускается скрипт, который крадёт файлы .env, wallet.dat, id_rsa и отправляет их на сервер злоумышленников.
  • Кто под угрозой: все, кто установил заражённые версии с 2024-06-01 по 2024-06-05.
  • Что делать:
    1. Проверить версию NX: nx --version.
    2. Обновиться до последней версии (≥19.1.1).
    3. Проверить проект на наличие подозрительных скриптов в node_modules/.bin.
    4. Сменить все пароли и ключи, хранившиеся в проекте.

Semgrep уже выпустил правило для обнаружения вредоносного кода:

semgrep --config=auto .

by neuroo • 27 августа 2025 г. в 12:18 • 434 points

ОригиналHN

#nx#npm#nodejs#semgrep#malware#security#cli#javascript

Комментарии (242)

  • Компрометация npm-токена позволила злоумышленнику встроить вредоносный post-install-скрипт в популярные пакеты Nx.
  • Скрипт проверяет наличие Claude Code / Gemini CLI и использует LLM для поиска секретов, обходя статический анализ.
  • Участники советуют отключать npm-скрипты (ignore-scripts true), использовать pnpm/bun, изолировать установку в контейнеры/VM и минимизировать зависимости.
  • Подчёркивается, что AI-агенты, запускаемые без песочницы, становятся мощным вектором атаки.

Malicious versions of Nx and some supporting plugins were published (github.com) 💬 Длинная дискуссия

Суть проблемы
В npm-реестр попали вредоносные версии пакетов Nx и связанных плагинов. Злоумышленники использовали временный доступ к npm-аккаунту @nxscope и опубликовали поддельные версии 19.8.0–19.8.2.

Затронутые пакеты

  • nx
  • @nx/angular, @nx/cypress, @nx/detox, @nx/devkit, @nx/esbuild, @nx/eslint-plugin, @nx/expo, @nx/express, @nx/jest, @nx/js, @nx/nest, @nx/next, @nx/node, @nx/playwright, @nx/plugin, @nx/react, @nx/rollup, @nx/storybook, @nx/vite, @nx/web, @nx/webpack, @nx/workspace

Что делать

  1. Удалить вредоносные версии.
  2. Установить официальные 19.8.3 или выше.
  3. Проверить lock-файлы и CI на наличие подозрительных версий.

by longcat • 27 августа 2025 г. в 01:38 • 240 points

ОригиналHN

#npm#nx#javascript#security#package-manager#supply-chain-attack#cli#devops#open-source#cybersecurity

Комментарии (335)

  • Пользователи советуют глобально отключать post-install скрипты (npm config set ignore-scripts true) и использовать альтернативные менеджеры (Bun, pnpm) или Docker/VM для изоляции.
  • Атака через скомпрометированный npm-токен показала, что вредоносный код может запускать локальные AI-агенты (Claude Code, Gemini CLI) для поиска секретов, минуя статический анализ.
  • Сообщество обеспокоено «vibe-coding» и растущим количеством зависимостей; предлагают вендорить пакеты через Verdaccio и использовать инструменты вроде vet для быстрого выявления вредоносных пакетов.