Nxはオープンソースで拡張可能なモノレポ用の開発ツールセットです。
そして、モノレポは、複数の異なるプロジェクトのソースコードを1つのリポジトリでまとめて管理する開発手法です。
開発手法ですので良い点も注意すべき点もありますが、活用の仕方次第では効果的な開発手法です。
そういった手法の効果を大きくするものの一つがNxです。
このNxの悪意を持って改造されたバージョンが配布され、攻撃に使用されている事象が確認されています。
- s1ngularity
Nxの欠陥のあるGitHub Actionsワークフローを悪用し、インストール後のマルウェアスクリプト(「telemetry.js」)を含む悪意のあるバージョンのパッケージをNPMに公開しました。
このマルウェアはLinuxとmacOSを標的とするインフォスティーラー型マルウェアです。
GitHubトークン、npmトークン、SSHキー、.envファイル、暗号ウォレットを盗み、その秘密を「s1ngularity-repository」という名前のパブリックGitHubリポジトリにアップロードしようとします。
ここのところ、生成AIを使って作成されたマルウェアが増えてきています。
効果的なプロンプトが作れれば、容易に論理的に同じ処理内容だけれども実装手法が異なるロジックを持つプログラムを生成することができますので、この意味で脅威アクターの生成AIの悪用はアンチウイルス機構の意味を大きく損なう効果を発揮してしまっています。
これはこれで大きな問題です。
しかしこういったものとはまた別な方法で生成AIに向き合っている例となったのが、このs1ngularityでした。
s1ngularityは、生成AIを使って生成した機構で機密の資格情報と秘密を検索し、収集したのです。
s1ngularityは生成AIを使うマルウェア攻撃でした。
問題に対策されたNxはすでに公開されています。
利用している環境が手元にある場合は速やかに対策を完了させましょう。
しかし、s1ngularity、ですか。
なんとも考えさせられる名前を使ってきていますね。
singularityは、来るのでしょうか。
Malicious versions of Nx and some supporting plugins were published
https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c
| この記事をシェア |
|
|---|
