Злоумышленники использовали Claude Code и Gemini CLI для кражи ключей и криптокошельков

Исследователи безопасности StepSecurity, Semgrep и Aikido Security сообщили о новом способе воровства данных при помощи инструмента для работы с монорепозиториями Nx и ИИ‑ассистентов Claude Code CLI и Gemini CLI. Неизвестный злоумышленник (или группа злоумышленников) нашли способ заразить Nx, чтобы при установке он запускал скрытый скрипт. Этот скрипт проверял, есть ли на компьютере помощники‑ИИ вроде Claude CLI или Gemini CLI — и если находил, то заставлял их по своей команде искать криптокошельки, ключи и токены.

Из‑за уязвимости в GitHub Actions злоумышленники получили доступ к npm‑токену команды Nx и выпустили несколько зараженных версий: 20.9.0–20.12.0 и 21.5.0–21.8.0. Заражённые версии распространялись примерно пять часов, пока проблему не заметили и не удалили с npm. Этого хватило, чтобы тысячи разработчиков успели скачать зараженный вариант. Причем под удар попали и те, кто просто пользовался IDE‑плагином Nx Console: он автоматически проверял последнюю версию и тем самым запускал скрипт даже без прямой установки Nx.

В зараженных версиях Nx оказался файл telemetry.js со скриптом, который при запуске проверял, есть ли у разработчика установленные ИИ‑ассистенты вроде Claude Code CLI или Gemini CLI. Они могут управлять компьютером через командную строку — поэтому скрипт выдавал ИИ‑ассистенту промпт на поиск и сбор чувствительных данных. Чтобы ассистенты не спрашивали разрешений, команда запускалась с флагами наподобие ‑dangerously‑skip‑permissions. Все найденные данные кодировались и загружались в публичный репозиторий GitHub от имени самой жертвы, а в системные файлы ~/.bashrc и ~/.zshrc добавлялась команда sudo shutdown ‑h 0, из‑за которой при следующем открытии терминала компьютер пытался выключиться.

По данным