댓글을 여기로 옮겼음, 이쪽이 먼저 포스팅된 것 같고 Nx 프로젝트의 공식 URL도 포함되어 있음
사람들이 링크하던 두 개의 블로그 포스트도 상단에 올려놓았으니 원하면 읽을 수 있음
게시물 재업을 통해 프론트페이지에서 이 스레드의 위치와 비슷한 곳으로 옮길 예정임
시간대 관련 기록은 여기에서 찾아볼 수 있음, 첫 번째 제출자는 longcat이 맞는 것 같음
인기 있던 글이 한 순간에 내려가는 상황이 아쉬울 것 같긴 하지만, 어떤 URL이 가장 맞는지 의견이 갈려서 공식 소스를 우선으로 골랐음, 그리고 최초 제출자에게 '크레딧'을 주는 게 가장 안전하다 판단함
"감염된 nx 버전 사용 중인가요? semgrep --config [...] 실행해보세요. 또는 nx –version 실행도 대안입니다"
이런 식의 보안 조언을 그냥 믿으면 안 된다는 것을 우리가 아직도 깨닫지 못한 것 같음, 이 글이 이미 받은 점수를 보면 답이 나옴
특히 원래 안내문을 통째로 없애고 자기 도구 사용법으로 바꿔놓는 보안 조언가들 신뢰하지 말아야 함
공식 보안 권고는 여기에 있는데, 어디에도 감염된 프로그램을 실행해서 감염 여부를 판단하라는 안내는 없음
semgrep 실행하라는 말도 공식 문서 어디에도 없음
자급자족 농업을 존중하지만, 이미 디지털 기술은 충분히 부트스트랩된 상태임
세계 산업 기반이 완전히 붕괴해도 다음 세기는 누가 컴퓨터를 더 잘 활용하느냐에 따라 결정될 것임
버려진 스마트폰을 주워다 농업, 제조, 드론 전쟁까지 재자동화하는 시대 올 것임
LLM 기반 AI도 이미 깊게 자리잡았고 앞으로도 오지 않을까 생각
각 부족들의 반쯤 무너진 건물에서 태양광 노트북으로 ollama, aider/void 돌려 쓰는 상황도 상상해볼 만함
미끼일 수도 있겠지만, 데모에서 is_prime 함수가 함수 이름과는 다르게 동작함
오늘 당장 Stardew Valley 게임 플레이하거나, 직접 Harvest Moon 클론을 프로그래밍하며 이런 삶을 미리 경험할 수 있음
@dang, 블로그 포스트도 도움되지만 이 Github 이슈가 훨씬 더 명확하고 실질적인 해결 방법을 제시하는 것 같음
링크를 이쪽으로 바꿔줄 수 있는지 궁금함
(이 스레드는 여기서 분리했음)
해당 이슈에 대한 첫 제출 글(여기)을 발견했고, 깃허브 URL이라서 스레드를 거기로 합쳤음
자세한 설명은 여기 있음
이 Semgrep 글은 Nx가 직접 보고한 내용과 완전히 다르게 설명하고 있음
공격자가 여러 번의 릴리즈에 걸쳐 페이로드를 실시간으로 편집했으며, 더 많은 공격을 준비했다는 느낌임
그런데도 왜 페이로드가 파일 경로만 서버로 전송하고, 실제 파일 내용은 안 보냈는지 궁금함
전체 공격을 출시 전에 미리 완성하지 않은 이유가 무엇이었을지, 단순한 정보 수집, PoC, 아니면 미숙한 탓인지 생각하게 됨 관련 보안 권고 참고
일부러 혼란을 만들려는 사람의 작품 같음
그리고 AI를 활용해서 토론의 이슈로 만들고, 주목을 모으려고 한 느낌임
특히 .bashrc를 편집해서 시스템을 강제로 셧다운시키는 방식 등을 고려하면, 뭔가 일부러 시끄럽게 만들고 싶으면서도 큰 파괴는 하지 않은 것 같음
Hacker News 의견
댓글을 여기로 옮겼음, 이쪽이 먼저 포스팅된 것 같고 Nx 프로젝트의 공식 URL도 포함되어 있음
사람들이 링크하던 두 개의 블로그 포스트도 상단에 올려놓았으니 원하면 읽을 수 있음
게시물 재업을 통해 프론트페이지에서 이 스레드의 위치와 비슷한 곳으로 옮길 예정임
시간대 관련 기록은 여기에서 찾아볼 수 있음, 첫 번째 제출자는 longcat이 맞는 것 같음
인기 있던 글이 한 순간에 내려가는 상황이 아쉬울 것 같긴 하지만, 어떤 URL이 가장 맞는지 의견이 갈려서 공식 소스를 우선으로 골랐음, 그리고 최초 제출자에게 '크레딧'을 주는 게 가장 안전하다 판단함
"감염된 nx 버전 사용 중인가요? semgrep --config [...] 실행해보세요. 또는 nx –version 실행도 대안입니다"
이런 식의 보안 조언을 그냥 믿으면 안 된다는 것을 우리가 아직도 깨닫지 못한 것 같음, 이 글이 이미 받은 점수를 보면 답이 나옴
특히 원래 안내문을 통째로 없애고 자기 도구 사용법으로 바꿔놓는 보안 조언가들 신뢰하지 말아야 함
공식 보안 권고는 여기에 있는데, 어디에도 감염된 프로그램을 실행해서 감염 여부를 판단하라는 안내는 없음
semgrep 실행하라는 말도 공식 문서 어디에도 없음
블로그 글 작성자임
좋은 지적임
현재까지 확인된 바로는 nx --version 자체는 안전함, 이 취약점이 post-install 스크립트에 국한된 것이기 때문임
그래서 포스팅에서도 권고사항을 변경했음
Github 보안 권고에 나온 버전 리스트를 Semgrep 룰로 정리했고 MIT 라이선스로 공개했음: semgrep.dev/c/r/oqUk5lJ/semgrep.ssc-mal-resp-2025-08-nx-build-compromised
사용할 수 있는 환경에서는 여러 패키지를 한 번에 검사하기에 간편함
내부 저장소에서는 전부 이 룰로 점검함
블로그 포스트도 MIT 라이선스임을 추가했고, Semgrep 자체도 LGPL이므로 curl로 룰을 다운받아
semgrep --config=rule.yaml로 로컬에서 실행 가능함: https://github.com/returntocorp/semgrep'그런 행동’이라는 게 정확히 무엇을 의미하나? 프로그램 실행 자체를 말하는 건가 궁금함
"감염 여부를 알고 싶으면, 감염된 프로그램을 실행하세요… 그러면 확실히 감염됨" 이라는 느낌임
블로그 포스트가 마치 자백문 같게 읽혀서 이상하다는 느낌임
이 회사는 무언가 달라보임
https://semgrep.dev/solutions/secure-vibe-coding/
만약 소프트웨어 개발이 여기서 보여주는 데모처럼 변한다면
나도 그냥 자급자족 농사로 전향해서 문명이 무너질 때까지 기다리고 싶어짐
자급자족 농업을 존중하지만, 이미 디지털 기술은 충분히 부트스트랩된 상태임
세계 산업 기반이 완전히 붕괴해도 다음 세기는 누가 컴퓨터를 더 잘 활용하느냐에 따라 결정될 것임
버려진 스마트폰을 주워다 농업, 제조, 드론 전쟁까지 재자동화하는 시대 올 것임
LLM 기반 AI도 이미 깊게 자리잡았고 앞으로도 오지 않을까 생각
각 부족들의 반쯤 무너진 건물에서 태양광 노트북으로 ollama, aider/void 돌려 쓰는 상황도 상상해볼 만함
미끼일 수도 있겠지만, 데모에서 is_prime 함수가 함수 이름과는 다르게 동작함
오늘 당장 Stardew Valley 게임 플레이하거나, 직접 Harvest Moon 클론을 프로그래밍하며 이런 삶을 미리 경험할 수 있음
@dang, 블로그 포스트도 도움되지만 이 Github 이슈가 훨씬 더 명확하고 실질적인 해결 방법을 제시하는 것 같음
링크를 이쪽으로 바꿔줄 수 있는지 궁금함
otterly와 Hilift가 semgrep 페이지보다 더 좋은 커버리지를 찾았음
(이 스레드는 여기서 분리했음)
해당 이슈에 대한 첫 제출 글(여기)을 발견했고, 깃허브 URL이라서 스레드를 거기로 합쳤음
자세한 설명은 여기 있음
이 Semgrep 글은 Nx가 직접 보고한 내용과 완전히 다르게 설명하고 있음
공격자가 여러 번의 릴리즈에 걸쳐 페이로드를 실시간으로 편집했으며, 더 많은 공격을 준비했다는 느낌임
그런데도 왜 페이로드가 파일 경로만 서버로 전송하고, 실제 파일 내용은 안 보냈는지 궁금함
전체 공격을 출시 전에 미리 완성하지 않은 이유가 무엇이었을지, 단순한 정보 수집, PoC, 아니면 미숙한 탓인지 생각하게 됨
관련 보안 권고 참고
그리고 AI를 활용해서 토론의 이슈로 만들고, 주목을 모으려고 한 느낌임
특히 .bashrc를 편집해서 시스템을 강제로 셧다운시키는 방식 등을 고려하면, 뭔가 일부러 시끄럽게 만들고 싶으면서도 큰 파괴는 하지 않은 것 같음
이 글이 semgrep보다 훨씬 더 잘 정리되어 있음: stepsecurity.io 블로그
이 글을 올리기 9시간 전에 여기에도 포스팅했었음
HN 관리자가 이 스토리의 링크를 이쪽으로 바꿔주면 좋겠음