Зловредные ИИ: Как атака на Nx превратила Claude Code и Gemini CLI в инструменты кражи данных

Группа специалистов по безопасности из StepSecurity, Semgrep и Aikido Security сообщила о новом способе кражи данных, использующем инструмент для работы с монорепозиториями Nx и ИИ-ассистентов Claude Code CLI и Gemini CLI. Преступники нашли способ модифицировать Nx так, что при его установке активировался скрытый скрипт. Этот скрипт проверял наличие на компьютере ИИ-помощников и, если их находил, заставлял их исполнять команды по поиску криптокошельков, ключей и токенов.

Из-за уязвимости в GitHub Actions злоумышленцы смогли получить доступ к npm-токену команды Nx и опубликовали несколько заражённых версий: 20.9.0–20.12.0 и 21.5.0–21.8.0. Эти версии оставались доступными около пяти часов, пока проблему не выявили и не удалили из npm. За это время тысячи разработчиков успели скачать заражённую версию. Пострадали даже те, кто использовал IDE-плагин Nx Console, так как он автоматически обновлял версию и активировал скрипт без прямой установки Nx.

В заражённых версиях Nx был файл telemetry.js со скриптом, который при запуске проверял находящихся на компьютере ИИ-ассистентов такие как Claude Code CLI или Gemini CLI. Поскольку они могут выполнять команды через терминал, скрипт выдавал им инструкции на поиск и сбор конфиденциальной информации. Чтобы избежать запроса разрешений, команда запускалась с флагами, подобными ‑dangerously‑skip‑permissions. Все обнаруженные данные шифровались и загружались в публичный репозиторий GitHub от имени жертвы, а в системные файлы ~/.bashrc и ~/.zshrc добавлялась команда sudo shutdown ‑h 0,, что вызывало выключение компьютера при следующем открытии терминала.

По информации исследователей, на GitHub уже обнаружено свыше 1400 автоматически созданных репозиториев с украденной информацией, что указывает на потенциальные компрометации множества аккаунтов. После выявления атаки заражённые версии были удалены, токен был заблокирован командой Nx, и выпущены безопасные версии. GitHub начал скрывать подозрительные репозитории, созданные автоматически от имени жертв.

Эксперты рекомендуют разработчикам проверить свои репозитории на наличие папок singularity-repository, сменить все ключи и пароли на новые, обновить зависимости до безопасной версии Nx и проверить системные файлы на наличие посторонних записей. Уникальной особенностью данной атаки является то, что её создатели смогли заставить популярные ИИ-инструменты работать против пользователей, нанося им ущерб.

P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть», где я обсуждаю ИИ с творческой точки зрения.