事件摘要

攻擊者： Unknown
攻擊時間： 2025.08.26 - 2025.08.27
攻擊目標：NodeJS 的套件：Nx
受害者：超過千人 (主要針對開發人員)
惡意軟體名稱：telemetry.js
惡意程式的功能：從 MacOS 和 Linux 系統竊取資訊和加密貨幣錢包相關資訊，且找尋受害者敏感資料的方式是透過 AI (EX: Claude Code、Gemini 和 Amazon Q )
C2: 攻擊者並無在 telemetry.js 放 c2 來獲取受害者資料，他會透過受害者的 Github ，創建公開的 repo (名稱為：「singularity-repository-0」、「singularity-repository-1」這種)，並將受害者的資料打包成「results.b64」的文件上傳到前述的公開 repo

惡意程式概觀

根據看到的新聞，用了底下的 VirusTotal Search

1	name:telemetry.js and fs:2025-08-18T00:00:00+

看到 3 個惡意程式

共同惡意行為
- 憑證竊取: 搜尋 GitHub token、npm 憑證、SSH 金鑰、加密貨幣錢包
- 資料外洩: 將竊取的資料上傳到 GitHub repo
- 系統偵察: 收集環境變數、系統資訊、已安裝的 CLI 工具
- 系統掃描: 搜尋敏感配置文件和憑證
telemetry.js
- SHA-256: 5a2168b679f6a1ac40893884c1271e23c3a7ea338a973ee46fcf76479f9cdd59
- 最早是 2025.08.27 由美國上傳到 VirusTotal
- 主要差異：專注竊取加密貨幣錢包相關資訊
telemetry.js
- SHA-256: 8eea1f65e468b515020e3e2854805f1ef5c611342fa23c4b31d8ed3374286a90
- 最早是 2025.08.27 由巴西上傳到 VirusTotal
- 主要差異：有混淆
telemetry.js
- SHA-256: 7ed5c47fe32d24f4925c24f661175f3676dca95a75e59e3f7e551944215f4de3
- 最早是 2025.08.27 由香港上傳到 VirusTotal
- 主要差異：專注於設定檔案的竊取