کرم Mini Shai-Hulud برگشت: حمله زنجیره تأمین به پکیجهای TanStack
جاوااسکریپتگروه TeamPCP با استفاده از کرمی به نام Mini Shai-Hulud، چندین پکیج محبوب npm از جمله پکیجهای @tanstack را آلوده کرد که هفتهای میلیونها بار دانلود میشن. این بدافزار با دزدیدن توکنهای OIDC از پایپلاینهای GitHub Actions، نسخههای مخرب رو از طریق سیستم انتشار رسمی پروژه منتشر کرده. جالبتر اینکه پکیجهای آلوده دارای attestation معتبر SLSA Build Level 3 هستن که این رویداد رو به اولین کرم npm با تأیید رسمی تبدیل میکنه.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
