2025年8月26日、JavaScriptエコシステムで最も広く使用されているビルドツールの一つであるNxにおいて、複数の悪意のあるバージョンが攻撃者によって公開されたことが話題になった。 socket.dev github.com 攻撃の概要 攻撃者は以下のような流れで悪意のあるバージョンを公開した。攻撃の影響や詳しい流れは本記事の守備範囲外のため、NotebookLMに簡潔にまとめてもらった内容を記載する。 1. GitHub Actionsワークフローの脆弱性悪用 攻撃者は pull_request_target トリガーを持つワークフローのBashインジェクション脆弱性を利用した。 このワークフローは PR ターゲットリポジトリに対する読み書き権限を持つ GITHUB_TOKEN で昇格実行されるものであった。 脆弱ワークフローが master から削除された後も、古いブランチをタ