Selon Hackread.com (article de Deeba Ahmed), une attaque supply chain nommée « s1ngularity » a compromis la plateforme de build Nx à partir du 26 août 2025, ciblant les versions 20.9.0 à 21.8.0. L’objectif principal : le vol d’identifiants et de secrets de développeurs, touchant majoritairement des utilisateurs macOS.

L’attaque a exfiltré des tokens GitHub, clés d’authentification npm et clés privées SSH. Elle a également visé des clés API d’outils d’IA (dont Gemini, Claude et Q), marquant un intérêt pour les plateformes d’IA émergentes. Un payload destructeur modifiait les fichiers de démarrage du terminal, provoquant le plantage des sessions. 🔐

D’après l’analyse partagée par GitGuardian, 85% des systèmes infectés tournaient sous macOS. Sur le plan de l’exfiltration, les attaquants ont utilisé 1 346 dépôts GitHub pour stocker les données volées, en les double-encodant pour éviter la détection — un volume bien supérieur aux 10 dépôts visibles publiquement alors que GitHub supprimait les autres. L’analyse a mis au jour 2 349 secrets distincts, dont plus de 1 000 encore valides au moment du rapport, principalement pour GitHub et des plateformes d’IA. Fait notable, sur des centaines de systèmes où des clients IA ont été sollicités, plusieurs ont résisté aux requêtes malveillantes (refus d’exécuter ou réponses suggérant une détection) 🧠.

Pour les utilisateurs des versions Nx 20.9.0–21.8.0, l’article indique qu’il faut considérer les identifiants comme exposés. GitGuardian propose un service gratuit, HasMySecretLeaked, permettant de vérifier des compromissions sans divulguer les clés. Il est rappelé que supprimer un fichier compromis ne suffit pas : les clés et tokens doivent être révoqués et renouvelés.

TTPs clés observés:

  • Supply chain: injection de code malveillant dans un composant logiciel largement utilisé (Nx) 📦
  • Vol de credentials: GitHub tokens, clés npm, clés privées SSH, clés API IA
  • Exfiltration via dépôts GitHub dédiés, avec double-encodage pour l’évasion
  • Payload destructeur: modification des fichiers de démarrage du terminal entraînant des crashs
  • Ciblage plateforme: forte prévalence sur macOS (85%)

Type d’article: article de presse spécialisé résumant une attaque supply chain et les constatations de GitGuardian.

🔗 Source originale : https://hackread.com/developer-credentials-stolen-macos-s1ngularity-attack/

🖴 Archive : https://web.archive.org/web/20250829132520/https://googleads.g.doubleclick.net/pagead/ads?gdpr=0&client=ca-pub-3675825324474978&output=html&h=280&adk=339461272&adf=2274550014&pi=t.aaa.1372487962rp.4&w=1160&fwrn=4&fwrnh=100&lmt=1756472062&rafmt=1&to=qs&pwprc=5539296164&format=1160x280&url=https%3A%2F%2Fhackread.com%2Fdeveloper-credentials-stolen-macos-s1ngularity-attack%2F&fwr=0&pra=3&rpe=1&resp_fmts=3&wgl=1&fa=40&uach=WyJMaW51eCIsIjUuMTUuMCIsIng4NiIsIiIsIjEzOC4wLjcyMDQuMTU3IixudWxsLDAsbnVsbCwiNjQiLFtbIk5vdClBO0JyYW5kIiwiOC4wLjAuMCJdLFsiQ2hyb21pdW0iLCIxMzguMC43MjA0LjE1NyJdLFsiR29vZ2xlIENocm9tZSIsIjEzOC4wLjcyMDQuMTU3Il1dLDBd&abgtt=6&dt=1756473919227&bpp=8&bdt=2224&idt=8&shv=r20250827&mjsv=m202508270101&ptt=9&saldr=aa&abxe=1&cookie=ID%3D5d17ea65ec8447bd%3AT%3D1756473918%3ART%3D1756473918%3AS%3DALNI_MaqeSgOgkEcb68exMSfvOZQa8gwRw&gpic=UID%3D000012624637d341%3AT%3D1756473918%3ART%3D1756473918%3AS%3DALNI_Mb9IFhcmo336x0T6PdvF2K2cVdW1w&eo_id_str=ID%3D6967b9fe13df89fe%3AT%3D1756473918%3ART%3D1756473918%3AS%3DAA-AfjYJpy_gXAXzBq-BxdcDVsNP&prev_fmts=0x0%2C300x250%2C680x280%2C680x280%2C300x600%2C1005x124&nras=6&correlator=1473577402714&frm=20&pv=1&u_tz=0&u_his=2&u_h=600&u_w=800&u_ah=600&u_aw=800&u_cd=24&u_sd=1&dmc=30&adx=113&ady=3264&biw=1385&bih=761&scr_x=0&scr_y=400&eid=31094364%2C95362656%2C95369705%2C95370341%2C31094350%2C95370631&oid=2&psts=AOrYGslCUtHhfc29UG5VZDIyuDJzkMlR-sAHx0d2nsQ2R6GH9HOB-i8gDU-JZZ7psf32muxcGgAnUJa6w2Y5rHqSKXFVpHY1xMv2wltqGLFQTg3poO-JMKQNjbfYGq9Kn8bd4KSY&pvsid=6463196169358369&tmod=1656940814&uas=0&nvt=1&fc=1920&brdim=10%2C10%2C10%2C10%2C800%2C0%2C1400%2C900%2C1400%2C761&vis=1&rsz=%7C%7Cs%7C&abl=NS&fu=128&bc=31&bz=1&td=1&tdf=2&psd=W251bGwsbnVsbCxudWxsLDNd&nt=1&pgls=CAEQBBoHMS4xNjAuMQ..&ifi=6&uci=a!6&btvi=6&fsb=1&dtd=1586