حمله زنجیره تأمین به پکیجهای TanStack در npm
جاوااسکریپتدر تاریخ ۱۱ مه ۲۰۲۶، یک مهاجم ۸۴ نسخه مخرب از ۴۲ پکیج @tanstack را در npm منتشر کرد. این حمله با ترکیب آسیبپذیری pull_request_target، مسمومسازی کش GitHub Actions، و استخراج توکن OIDC انجام شد. بدافزار هنگام اجرای npm install، اطلاعات حساس مثل توکنهای AWS، GCP، Kubernetes و کلیدهای SSH را میدزدید. نسخههای آلوده در کمتر از ۲۰ دقیقه توسط یک محقق خارجی شناسایی شدند.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
