Os administradores do Nx, popular plataforma open source para gerenciamento de bases de código, confirmaram que um ataque cibernético comprometeu credenciais de pelo menos 2.300 usuários. A invasão, identificada em 21 de agosto por especialistas da Wiz Research, explorou uma falha em solicitações de pull request para injetar código malicioso e publicar pacotes contaminados no npm registry.
Como o ataque foi conduzido
De acordo com a Wiz Research, o invasor utilizou o recurso pull_request_target para obter privilégios elevados e acesso ao token GITHUB_TOKEN do repositório oficial do Nx. Com esse privilégio, o criminoso roubou o npm token da equipe de desenvolvimento, liberando a publicação de versões adulteradas do Nx e de diversos plugins — todos aparentemente legítimos.
Os pacotes maliciosos foram distribuídos nas seguintes versões:
- @nrwl/nx e nx: 20.9.0 a 20.12.0 e 21.5.0 a 21.8.0
- @nx/devkit: 21.5.0 e 20.9.0
- @nx/enterprise-cloud: 3.2.0
- @nx/eslint: 21.5.0
- @nx/js: 21.5.0 e 20.9.0
- @nx/key: 3.2.0
- @nx/node: 21.5.0 e 20.9.0
- @nx/workspace: 21.5.0 e 20.9.0
Efeitos nos sistemas comprometidos
Após a instalação, o malware realizava varredura em máquinas Linux ou macOS para capturar chaves SSH, tokens de acesso e arquivos .gitconfig. Em seguida, enviava todo o conteúdo para repositórios criados no próprio GitHub das vítimas — 1.346 repositórios individuais foram mapeados pelos pesquisadores.
Em alguns casos, os criminosos incluíram um arquivo .zshrc alterado com um comando de desligamento. Ao reiniciar o computador, a vítima era induzida a digitar a senha do sistema, que também era capturada.
O que foi exposto e como se proteger
Até 90% dos tokens furtados permaneciam válidos no momento da divulgação, o que permite aos invasores continuar acessando dados sensíveis. A recomendação é que todos os usuários afetados:
- Revoguem tokens npm, GitHub e quaisquer chaves associadas;
- Alterem senhas utilizadas nos projetos;
- Habilitem autenticação em dois fatores;
- Verifiquem arquivos .zshrc e .bashrc em busca de comandos suspeitos.
A equipe do Nx informou que as versões infectadas foram removidas do repositório oficial e que medidas adicionais de segurança estão sendo implementadas para prevenir novos incidentes.
Para acompanhar outras atualizações sobre cibersegurança e tecnologia, visite nossa seção de notícias.
Com informações de TecMundo
