حمله زنجیره تأمین TeamPCP به npm و PyPI
جاوااسکریپتخلاصهٔ کاملتر
گروه هکری TeamPCP در ۱۱ مه ۲۰۲۶ یک حمله هماهنگ زنجیره تأمین (Supply Chain Attack) رو علیه اکوسیستمهای npm و PyPI اجرا کرد. پکیجهای آلودهشده شامل @tanstack/react-router (با تقریباً ۱۲ میلیون دانلود هفتگی)، پکیجهای @uipath، کلاینت رسمی @mistralai/mistralai، و پکیج پایتونی guardrails-ai میشه.
چطور حمله به TanStack اتفاق افتاد؟ مهاجم یک فورک از ریپوزیتوری TanStack/router ساخت و اون رو با اسم zblgg/configuration پنهان کرد تا توی لیست فورکها دیده نشه. بعد با باز کردن یک Pull Request، یک workflow از نوع pull_request_target رو تریگر کرد که کد مهاجم رو اجرا کرد و کَش GitHub Actions رو آلوده کرد. وقتی نگهدارندههای اصلی پروژه PR مرج کردن، فرآیند ریلیز همون کَش مسموم رو بازیابی کرد. مهاجم از طریق خواندن مستقیم حافظه فرآیند (/proc//mem) توکن OIDC رو دزدید و بدون نیاز به اعتبارنامه npm، پکیج مخرب رو منتشر کرد.
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
