CVE-2025-10894
KrytyczneStreszczenie
Do pakietu Nx (systemu budowania) oraz kilku powiązanych wtyczek wprowadzono złośliwy kod. Zmodyfikowany pakiet został opublikowany w rejestrze oprogramowania npm w wyniku ataku na łańcuch dostaw.
Ocena ryzyka
Zainfekowane wersje zawierają kod, który skanuje system plików, zbiera dane uwierzytelniające i przesyła je na GitHub jako repozytorium pod kontami użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.
Rekomendacja
Zaleca się natychmiastowe usunięcie zainfekowanych wersji pakietu Nx oraz przeprowadzenie audytu bezpieczeństwa systemów, aby zidentyfikować i usunąć wszelkie złośliwe komponenty.
Oryginalny opis (angielski, źródło NVD)
Malicious code was inserted into the Nx (build system) package and several related plugins. The tampered package was published to the npm software registry, via a supply-chain attack. Affected versions contain code that scans the file system, collects credentials, and posts them to GitHub as a repo under user's accounts.

