npm 曝大规模供应链攻击:TanStack 生态被投毒,可窃取云密钥与GitHub令牌
流行的前端开发库 TanStack 生态(包括 Router, History 等)确认遭遇严重的供应链攻击。攻击者利用受损的 GitHub Actions 工作流, 2026-5-12 02:57:7 Author: blog.upx8.com(查看原文) 阅读量:10 收藏
流行的前端开发库 TanStack 生态(包括 Router, History 等)确认遭遇严重的供应链攻击。攻击者利用受损的 GitHub Actions 工作流, 2026-5-12 02:57:7 Author: blog.upx8.com(查看原文) 阅读量:10 收藏
流行的前端开发库 TanStack 生态(包括 Router, History 等)确认遭遇严重的供应链攻击。攻击者利用受损的 GitHub Actions 工作流,在多个 npm 官方包中植入了名为 "mini-shai-hulud" 的恶意蠕虫。
安全专家及 TanStack 团队调查后确认,受影响的 npm 包版本被植入了混淆的恶意脚本。该攻击具有极强的杀伤力,其核心行为包括:
全方位凭证窃取: 恶意脚本会扫描受害者环境,收集 AWS/GCP 凭证、Kubernetes 令牌、SSH 密钥、GitHub 访问令牌以及 ~/.npmrc 文件。蠕虫式自我传播: 脚本会利用窃取的权限,自动搜索受害者拥有维护权限的其他 npm 项目,并将恶意代码注入后重新发布,形成链式感染。
报复性自毁机制(预警): 攻击者在 Linux 和 macOS 系统中安装了持久化守护进程。该进程会监控已窃取 GitHub 令牌的有效性。一旦开发者发现泄露并撤销令牌,该脚本将触发 rm -rf ~/. 命令,强制清空用户的家目录。
受影响范围
包括但不限于以下包的最新版本:
@tanstack/history (1.161.9 - 1.161.12)
@tanstack/react-router (1.169.5 - 1.169.8)以及 Router 系列的其他插件与工具包。
如果您在过去 24 小时内更新或安装了上述包,务必提高警惕,采取补救措施。
—— GitHub
文章来源: https://blog.upx8.com/npm-%E6%9B%9D%E5%A4%A7%E8%A7%84%E6%A8%A1%E4%BE%9B%E5%BA%94%E9%93%BE%E6%94%BB%E5%87%BB-TanStack-%E7%94%9F%E6%80%81%E8%A2%AB%E6%8A%95%E6%AF%92-%E5%8F%AF%E7%AA%83%E5%8F%96%E4%BA%91%E5%AF%86%E9%92%A5%E4%B8%8EGitHub%E4%BB%A4%E7%89%8C
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh