Viking (@vikingmute) “TanStack 又被攻击了 https://t.co/aoilMQON1y 感觉现在这安全事件就没停过,Next 前” — TopicDigg
Viking
@vikingmute
独立开发者 自由职业
作品
TinyShip 现代化全栈 SaaS 开发平台,支持国内外双市场 Monorepo 架构 三框架支持
简单简历 五分钟打造程序员的金牌简历
加入 May 2011
278 正在关注 66.7K 粉丝
TanStack 又被攻击了
感觉现在这安全事件就没停过,Next 前几天也经常被搞。
攻击者发布了 84 malicious versions,
具体方式挺有趣的,让 AI 总结下:
1 攻击者以zblgg名义提交了一个看似正常的 PR 7378到 TanStack/router 仓库。
2 Github 在 PR 上运行 CI
3 PR 中的恶意代码(vite_setup.mjs)在 CI 运行时窃取 GitHub Actions 的缓存写权限和 OIDC token(通过 runner 内存提取),然后将恶意 payload 写入共享的 pnpm-store 缓存。PR 随后都无所谓了,投毒缓存仍保留。
4 后续主分支的 release workflow 从被污染的缓存中拉取依赖,构建出带毒的包,并使用窃取的 OIDC token 自动签名、发布到 npm。
5 短短几分钟内发布了84 个恶意版本。
官方建议:任何在 2026-05-11 当天安装过受影响版本的用户,必须轮换各种凭证(AWS、GCP、Kubernetes、GitHub、npm、SSH 等)
显示更多
