Команда Nx опублікувала постмортем інциденту S1ngularity, під час якого в npm на кілька годин з’явилися шкідливі версії пакетів Nx. Атакери використали слабке місце у GitHub Actions, щоб викрасти токен публікації npm, і через нього випустили заражені релізи, не проходячи стандартний релізний контроль.
Шкідливий код запускався після встановлення пакета (post-install), сканував машину розробника на “секрети” та вивантажував знайдене у відкриті GitHub-репозиторії. Nx підкреслюють, що Nx Cloud інцидент не зачепив - атака стосувалася саме open-source пакетів.
Після інциденту команда змінила підхід до релізів: перейшла на OIDC-публікацію через npm Trusted Publishers, додала ручне підтвердження релізів і посилила контроль GitHub Actions для зовнішніх внесків. Історія показова для всієї індустрії: CI/CD токени та права GitHub Actions залишаються одним із найвразливіших місць у supply chain.