一項代號為「s1ngularity」的重大供應鏈攻擊，於2025年8月26日悄然展開，目標鎖定macOS平台的軟體開發者，並成功竊取了數千組開發者憑證，對全球技術社群構成嚴重威脅。這起事件的獨特之處在於其巧妙的入侵途徑，以及對開發者生態系統的精準打擊。

攻擊者利用一個名為Nx的熱門軟體建置平台作為入侵點。Nx廣受軟體開發社群的歡迎，主要用於簡化和加速應用程式的建置流程。駭客們成功將惡意程式碼植入到Nx平台的20.9.0至21.8.0版本中。這使得任何使用受感染版本的開發者，都在不知不覺中成為攻擊的受害者。

資安公司GitGuardian的詳細分析揭示了這起攻擊的嚴重性。他們發現，高達85%的受感染系統都運行macOS作業系統，這強烈顯示了攻擊者對蘋果開發者社群的特定鎖定。駭客的惡意軟體不僅竊取了各種敏感資料，更展現了其高度的複雜性與針對性。

• GitHub代幣（GitHub tokens）： 這些代幣能讓駭客在受害者的GitHub帳戶上執行操作，包括存取私有程式碼庫、修改專案內容，甚至發布惡意更新。

• npm驗證金鑰（npm authentication keys）： npm是JavaScript開發者常用的套件管理工具。這類金鑰被盜，意味著駭客可能劫持開發者的npm帳戶，將惡意程式碼植入到流行的開源函式庫中，進而發動更廣泛的供應鏈攻擊。

• SSH私鑰（SSH private keys）： SSH金鑰是遠端伺服器存取的重要憑證。一旦被盜，駭客便能無限制地進入受害者的伺服器或程式碼庫，造成難以估計的損失。

• AI工具的API金鑰（API keys for AI tools）： 攻擊者還特別針對Gemini、Claude和Q等熱門AI工具的API金鑰。這表明駭客的動機不僅限於程式碼竊取，更可能涉及利用AI服務進行自動化攻擊、資料外洩或詐騙等犯罪活動。

為了逃避偵測，攻擊者將竊取的資料存放在多達1,346個不同的程式碼庫中，並採用雙重編碼技術進行偽裝。GitGuardian的分析發現了2,349個不同的敏感憑證，其中超過1,000個在報告發布時仍處於有效狀態，這意味著駭客仍可持續利用這些憑證進行惡意活動。

更令人擔憂的是，除了資料竊取之外，這款惡意軟體還帶有破壞性負載。它會導致開發者的終端機工作階段異常崩潰，這種干擾行為可能是為了分散開發者的注意力，或者掩蓋竊取資料的痕跡。

面對這起嚴重的攻擊，所有曾使用受影響Nx版本的開發者都必須立即採取行動。首先，應當假設所有相關憑證都已暴露。其次，應立即檢查並刪除惡意檔案。最關鍵的步驟是，必須立即撤銷並替換所有可能被竊取的密鑰和代幣。

GitGuardian為此提供了免費的「HasMySecretLeaked」服務，開發者可以利用這項服務來檢查自己的憑證是否已經外洩。這類工具的出現，為開發者在事發後提供了快速應變的途徑。

總結而言，「s1ngularity」攻擊再次凸顯了供應鏈攻擊的危險性。這類攻擊不是直接針對終端用戶，而是利用軟體開發流程中的信任鏈，對整個生態系統造成廣泛且深遠的影響。對於所有開發者和企業而言，加強軟體供應鏈的安全性，並定期審查和輪替敏感憑證，已不再是可有可無的建議，而是必須嚴格執行的資安準則。

資料來源：https://hackread.com/developer-credentials-stolen-macos-s1ngularity-attack/