X · AI 高热
TanStack npm攻击真实经过:1. 攻击者o…
@intcyberdigest 🚨 How the TanStack npm attack actually happened: 1. Attacker o…
摘要
TanStack npm 攻击中,攻击者提交拉取请求(#7378)触发 GitHub Actions CI 测试,窃取工作流的缓存写入令牌,利用该令牌将恶意文件植入共享构建缓存。后续官方发布工作流从被污染缓存拉取内容,将恶意文件打包进构建产物,最终签名发布 84 个恶意包版本到 npm。
🚨 TanStack npm 攻击的实际过程如下:
- 攻击者在 TanStack 仓库上提交了一个看似正常的拉取请求(#7378)。
- GitHub 自动对该 PR 运行了 CI 测试。
- PR 中的代码在测试运行时窃取了工作流的 GitHub Actions 缓存写入令牌。
- 攻击者利用该令牌将恶意文件植入共享构建缓存中。之后 PR 可以关闭,但被污染的缓存依然存在。
- 后续的官方发布工作流从该缓存中拉取内容,将恶意文件打包进构建产物,并签名发布了 84 个恶意包版本到 npm。
译自 X · AI 高热 · 录于 二〇二六年五月十二日