一、 漏洞 CVE-2025-10894 基础信息
漏洞信息
# nx 和插件恶意版本发布到 npm 漏洞
## 概述
Nx 构建系统的主包及其多个插件遭受供应链攻击,攻击者在官方 npm 包中注入了恶意代码。
## 影响版本
受影响版本包含被篡改的 Nx 及其相关插件的 npm 包。具体版本尚未详细列出,但涉及近期发布的版本。
## 细节
恶意代码会扫描用户系统的文件系统,搜索并窃取认证凭据(如密钥文件、环境变量等敏感数据),并将收集到的信息上传到 GitHub,以用户账户名义创建新仓库用于存储这些数据。
## 影响
该漏洞可能导致用户的敏感数据(如 API 密钥、私钥、令牌等)被泄露给攻击者控制的 GitHub 仓库,进而造成账户被冒用、数据外泄及进一步入侵的风险。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-10894 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-10894 的情报信息
-
-
-
标题: Malicious versions of Nx and some supporting plugins were published · Advisory · nrwl/nx · GitHub -- 🔗来源链接
标签:
神龙速读
-
标题: s1ngularity: Popular Nx Build System Package Compromised with Data-Stealing Malware - StepSecurity -- 🔗来源链接
标签:
神龙速读
-
标题: s1ngularity: supply chain attack leaks secrets on GitHub: everything you need to know | Wiz Blog -- 🔗来源链接
标签:
神龙速读
-
标题: 2396282 – (CVE-2025-10894) CVE-2025-10894 nx: nx/devkit: Malicious versions of nx and plugins published to npm -- 🔗来源链接
标签: issue-tracking x_refsource_REDHAT
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-10894
四、漏洞 CVE-2025-10894 的评论
暂无评论