IT之家 5 月 12 日消息,网络安全检测机构 Socket 于当地时间 5 月 11 日发出警报,在开源工具库 TanStack 旗下约 84 个 NPM 软件包的恶意版本中发现疑似凭证窃取恶意代码。
受影响软件包覆盖 42 个 @tanstack/* 命名空间下的项目,其中 @tanstack / react-router 的周下载量超 1200 万次,此类工具包在 NPM 生态中被广泛直接或间接引用,使得本次供应链攻击具有极广的传播范围。
ithome.com
npm 生态遭大范围投毒:TanStack、Mistral AI、UiPath 等受波及,可窃取云密钥与 GitHub 令牌 - IT之家
网络安全机构 Socket 发现,攻击者利用 GitHub Actions 漏洞,向 @tanstack / react-router 等 84 个 NPM 包植入恶意代码,可窃取 AWS / GCP 密钥、GitHub 令牌等敏感信息。受影响包周下载量超 1200 万次,波及 @mistralai、@uipath 等多个企业级工具包。#网络安全##供应链攻击#
推荐阅读
[分享创造] [送码] HexHub 发布一段时间后,聊聊我理解的开发者工作台: SSH、数据库、Docker 和 AI Agent,顺便送码
推荐阅读
[程序员] 读 [分享一个百炼 API KEY] 有感,免费帮大家用 API
Socket
TanStack npm Packages Compromised in Ongoing Mini Shai-Hulud...
Socket detected 84 compromised TanStack npm package artifacts modified with suspected CI credential-stealing malware.
10 个帖子 - 8 位参与者
来源: LinuxDo 最新话题查看原文