حمله زنجیره تأمین به پکیجهای TanStack در npm
جاوااسکریپتدر تاریخ ۱۱ مه ۲۰۲۶، یک مهاجم ۸۴ نسخه مخرب از ۴۲ پکیج @tanstack را در npm منتشر کرد. این حمله با ترکیب آسیبپذیری pull_request_target، مسمومسازی کش GitHub Actions، و استخراج توکن OIDC انجام شد. بدافزار هنگام اجرای npm install، اطلاعات حساس مثل توکنهای AWS، GCP، Kubernetes و کلیدهای SSH را میدزدید. نسخههای آلوده در کمتر از ۲۰ دقیقه توسط یک محقق خارجی شناسایی شدند.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
در یازدهم مه ۲۰۲۶، یک حمله پیچیده زنجیره تأمین (Supply Chain Attack) به پکیجهای TanStack در npm رخ داد. مهاجم بین ساعت ۱۹:۲۰ تا ۱۹:۲۶ UTC، دقیقاً ۸۴ نسخه مخرب از ۴۲ پکیج @tanstack/* را منتشر کرد. نکته جالب اینه که هیچ توکن npmای دزدیده نشد — مهاجم از مسیر کاملاً متفاوتی وارد شد.
سه تکنیک ترکیبی این حمله رو ممکن کردن: اول، سوءاستفاده از الگوی «Pwn Request» در pull_request_target گیتهاب که بدون نیاز به تأیید contributor اجرا میشه؛ دوم، مسمومسازی کش GitHub Actions در مرز اعتماد fork↔base؛ و سوم، استخراج توکن OIDC مستقیماً از حافظه runner در زمان اجرا.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
