CVE-2025-10894 — 神龙十问 AI 深度分析摘要

🚨 **本质**：供应链攻击导致恶意代码注入。 💥 **后果**：恶意软件潜伏，扫描文件系统并窃取用户凭据。

🔍 **CWE-506**：软件本身存在弱点。 ⚠️ **缺陷点**：构建工具 **Nx** 被篡改，非代码逻辑漏洞，而是**信任链断裂**。

📦 **组件**：Nx 构建系统（Nx公司软件）。 🌍 **影响**：所有使用受影响版本 Nx 的开发者及项目。

🕵️ **黑客能力**： 1. **扫描文件系统**。 2. **收集/窃取凭据**（账号密码等敏感信息）。 3. 完全控制受害环境。

🚪 **利用门槛**： - **AV:N** (网络远程) - **AC:L** (攻击简单) - **PR:N** (无需权限) - **UI:R** (需用户交互/安装) 👉 **极低**，只要安装/更新被污染包即可触发。

🧪 **PoC**：数据中未提供公开 PoC。 🔥 **在野利用**：参考链接指向 Wiz 和 StepSecurity 的警报，暗示**已存在实际威胁**，需高度警惕。

🔎 **自查方法**： 1. 检查 `package-lock.json` 或 `yarn.lock`。 2. 确认 Nx 版本是否在受影响列表。 3. 扫描构建日志中的异常网络请求或文件访问。

🛡️ **官方修复**： - GitHub 安全公告：**GHSA-cxm3-wv7p-598c**。 - 建议立即查阅官方公告并升级至安全版本。

⚠️ **临时规避**： 1. **锁定版本**：禁止自动更新 Nx。 2. **校验哈希**：验证 npm 包完整性。 3. **隔离环境**：对构建机进行网络隔离。

🔥 **优先级**：**极高 (Critical)**。 - **CVSS 9.8** (接近满分)。 - **C:H/I:H/A:H** (机密性/完整性/可用性均高损)。 👉 **立即行动**：停止使用受影响版本，排查历史构建记录。