Migliaia di credenziali di sviluppo rubate nell'attacco "s1ngularity" di macOS

Un attacco alla supply chain chiamato "s1ngularity" sulle versioni 20.9.0-21.8.0 di Nx ha rubato migliaia di credenziali di sviluppo. Secondo l'analisi di GitGuardian, l'attacco ha preso di mira macOS e strumenti di intelligenza artificiale.

Un sofisticato attacco informatico, denominato "s1ngularity", ha compromesso Nx, una popolare piattaforma di sviluppo ampiamente utilizzata dagli sviluppatori software. L'attacco, iniziato il 26 agosto 2025, è un attacco alla supply chain, un tipo di violazione della sicurezza in cui gli hacker introducono codice dannoso in un software ampiamente utilizzato, che poi infetta tutti gli utenti che lo utilizzano.

L'attacco è stato progettato per rubare un'ampia varietà di dati sensibili, tra cui token GitHub, chiavi di autenticazione npm e chiavi private SSH . Queste credenziali sono essenzialmente chiavi digitali che forniscono l'accesso agli account e ai sistemi di un utente.

Il software dannoso si è spinto oltre, prendendo di mira le chiavi API di popolari strumenti di intelligenza artificiale come Gemini , Claude e Q, dimostrando una nuova attenzione alle tecnologie emergenti. Oltre a rubare dati, gli aggressori hanno installato un payload distruttivo che ha modificato i file di avvio del terminale degli utenti, causando il crash delle loro sessioni.

L'analisi di GitGuardian, condivisa con Hackread.com, ha rivelato alcuni dettagli sorprendenti sull'attacco e sulle sue vittime. L'azienda ha scoperto che l'85% dei sistemi infetti utilizzava macOS , evidenziando il particolare impatto dell'attacco sulla comunità degli sviluppatori, che utilizza frequentemente computer Apple.

Curiosamente, GitGuardian ha scoperto che, tra le centinaia di sistemi presi di mira dagli strumenti di intelligenza artificiale , molti client di intelligenza artificiale hanno inaspettatamente resistito alle richieste dannose. Si sono rifiutati di eseguire i comandi o hanno fornito risposte che suggerivano di sapere che veniva chiesto loro di fare qualcosa di sbagliato, mostrando un potenziale, seppur involontario, nuovo livello di sicurezza.

Le credenziali rubate non erano solo preziose, ma anche diffuse. La piattaforma di monitoraggio di GitGuardian, che monitora l'attività pubblica di GitHub , ha scoperto 1.346 repository utilizzati dagli aggressori per archiviare i dati rubati.

Per evitare di essere scoperti, gli aggressori hanno codificato due volte i dati rubati prima di caricarli. Questo numero è di gran lunga superiore a quello dei dieci repository pubblicamente visibili, poiché GitHub si stava rapidamente adoperando per eliminare i restanti. Un'analisi di questi repository ha rivelato 2.349 segreti distinti, di cui oltre 1.000 ancora validi e funzionanti al momento della segnalazione. I segreti più comuni erano quelli di GitHub e delle piattaforme di intelligenza artificiale più diffuse.

Per chiunque abbia utilizzato le versioni dannose di Nx dalla 20.9.0 alla 21.8.0, il passo più cruciale è presumere immediatamente che le proprie credenziali siano state esposte. GitGuardian ha creato un servizio gratuito chiamato HasMySecretLeaked che consente agli sviluppatori di verificare la presenza di credenziali compromesse senza mai rivelare le loro chiavi effettive.

Questo attacco ci ricorda che la semplice eliminazione di un file compromesso non è sufficiente; le chiavi segrete e i token devono essere revocati e ruotati per impedire ulteriori accessi da parte degli aggressori.