概要: 人気のモノレポツールNxとプラグインの悪意あるバージョンが、攻撃者がCIワークフローを侵害した後にnpmに公開されたと報じられています。このマルウェアのインストール後スクリプトは、認証情報を収集し、データを盗み出し、Claude Code、Gemini、Amazon qなどのローカルAIコーディングエージェントを武器化したと報告されています。unsafeフラグを呼び出すことで、ツールに開発者マシンをスキャンさせて機密ファイルを探させたとされており、これはAIを活用したサプライチェーン攻撃の初期の事例の一つです。
Alleged: Anthropic , Google と Amazon developed an AI system deployed by Malicious actors compromising Nx’s CI/CD pipeline and publishing tainted npm packages, which harmed Nx users and organizations installing compromised npm packages.
関与が疑われるAIシステム: Nx (monorepo tool and plugins) , npm registry , Claude Code CLI , Google Gemini CLI , Amazon q CLI と GitHub
インシデントのステータス
Risk Subdomain
A further 23 subdomains create an accessible and understandable classification of hazards and harms associated with AI
2.2. AI system security vulnerabilities and attacks
Risk Domain
The Domain Taxonomy of AI Risks classifies risks into seven AI risk domains: (1) Discrimination & toxicity, (2) Privacy & security, (3) Misinformation, (4) Malicious actors & misuse, (5) Human-computer interaction, (6) Socioeconomic & environmental harms, and (7) AI system safety, failures & limitations.
- Privacy & Security
Entity
Which, if any, entity is presented as the main cause of the risk
AI
Timing
The stage in the AI lifecycle at which the risk is presented as occurring
Post-deployment
Intent
Whether the risk is presented as occurring as an expected or unexpected outcome from pursuing a goal
Unintentional
インシデントレポート
レポートタイムライン
Loading...
2025年8月26日~27日(UTC)、悪意のある「Nx」および「Nx Powerpack」リリース8件がnpmに2つのバージョンラインにわたってプッシュされ、削除されるまで約5時間20分にわたって公開されていました。この攻撃はNx Console VS Code拡張機能にも影響を与えています。9月1日更新:npmに公開された悪意のあるNxバージョンの根本原因は、8月21日にPull Request経由で提供された欠陥のあるGitHub Actions CIワークフローである…
Loading...
ラスベガス発 ― 多くのビジネス分野が生成型AIのメリットとデメリットを依然として検討している中、犯罪的なハッカーたちはこの分野に参入し始めている。
サイバーセキュリティの専門家によると、ハッカーたちは、ほとんどのコンピューターに蔓延している人工知能(AI)プログラムをユーザーに対して壊滅的な効果を発揮させる方法を見つけ出し、AIによるサイバー攻撃防御能力への懸念を深めているという。
脅威アナリストによると、ハッカーは今やAIを魔法使いの弟子のように使いこなせるという。Goo…
バリアント
「バリアント」は既存のAIインシデントと同じ原因要素を共有し、同様な被害を引き起こし、同じ知的システムを含んだインシデントです。バリアントは完全に独立したインシデントとしてインデックスするのではなく、データベースに最初に投稿された同様なインシデントの元にインシデントのバリエーションとして一覧します。インシデントデータベースの他の投稿タイプとは違い、バリアントではインシデントデータベース以外の根拠のレポートは要求されません。詳細についてはこの研究論文を参照してください
似たようなものを見つけましたか?
よく似たインシデント
Did our AI mess up? Flag the unrelated incidents
よく似たインシデント
Did our AI mess up? Flag the unrelated incidents