Urgent : Kit de construction nx malveillant vole les clés GitHub
Une commande malveillante post-installation dans le populaire kit de construction nx a été découverte, créant un dépôt préfixé par 's1ngularity-repository' sur les comptes GitHub des utilisateurs affectés. Ce malware vole les portefeuilles, les clés API et les variables d'environnement, les stockant dans un fichier codé en base64. Intelligemment, il utilise des LLMs comme Claude Code CLI ou Gemini CLI pour décharger une grande partie de son code identifiable dans une invite, rendant la détection plus difficile. Les versions affectées de nx ont été supprimées de npm. Les utilisateurs doivent immédiatement vérifier leurs comptes GitHub, mettre à jour nx vers la dernière version sécurisée et faire pivoter tous les secrets compromis.