حمله زنجیره تأمین به پکیجهای TanStack در npm
جاوااسکریپتیه مهاجم با ترکیب سه آسیبپذیری در GitHub Actions موفق شد ۸۴ نسخه مخرب از ۴۲ پکیج @tanstack منتشر کنه. بدافزار هنگام اجرای npm install فعال میشد و اطلاعات حساس مثل کلیدهای AWS، GCP، SSH و توکنهای GitHub رو سرقت میکرد. هیچ توکن npm دزدیده نشد، اما به هر کسی که در اون روز نصب کرده توصیه میشه اعتبارنامههاش رو عوض کنه.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
یه گزارش جزئی (Postmortem) از تیم TanStack منتشر شده که شرح میده چطور یه مهاجم در تاریخ ۱۱ مه ۲۰۲۶، بین ساعت ۱۹:۲۰ تا ۱۹:۲۶ UTC، ۸۴ نسخه مخرب از ۴۲ پکیج @tanstack رو در npm ثبت کرد. جالب اینجاست که هیچ توکن npmای دزدیده نشد؛ بلکه مهاجم از سه آسیبپذیری زنجیری در GitHub Actions استفاده کرد.
مهاجم اول یه fork از مخزن TanStack/router ساخت و یه commit مخرب شامل یه فایل JS سیهزار خطی رو روی اون push کرد. بعد یه Pull Request به مخزن اصلی فرستاد. چون workflow های bundle-size.yml و labeler.yml از نوع pull_request_target بودن، بدون تأیید دستی اجرا شدن — این همون الگوی معروف "Pwn Request" هست. وقتی این workflow ها روی سرور اصلی اجرا شدن، فایل مخرب هم اجرا شد.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
