Vulnerabilidad en paquete Nx (sistema de compilación) y varios plugins relacionados (CVE-2025-10894)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/09/2025
Última modificación:
26/09/2025
Descripción
Se insertó código malicioso en el paquete Nx (sistema de compilación) y varios plugins relacionados. El paquete manipulado se publicó en el registro de software npm, a través de un ataque a la cadena de suministro. Las versiones afectadas contienen código que escanea el sistema de archivos, recopila credenciales y las publica en GitHub como un repositorio bajo las cuentas de los usuarios.
Impacto
Puntuación base 3.x
9.60
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/security/cve/CVE-2025-10894
- https://access.redhat.com/security/supply-chain-attacks-NPM-packages
- https://bugzilla.redhat.com/show_bug.cgi?id=2396282
- https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c
- https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware
- https://www.wiz.io/blog/s1ngularity-supply-chain-attack
- https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c
- https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware