Невідомі зловмисники здійснили атаку на TanStack: були використані ланцюжки вразливостей в архітектурі GitHub Actions, а заражені версії були опубліковані прямо в реєстр npm.
Невідомі зловмисники здійснили атаку на TanStack: були використані ланцюжки вразливостей в архітектурі GitHub Actions, а заражені версії були опубліковані прямо в реєстр npm.
Як пише DOU, зловмисники скомпрометували одразу 42 пакети екосистеми, випустивши 84 шкідливі версії.
Повідомляється, що атака відбулася через обхід стандартних механізмів безпеки, а хакери створили замаскований форк репозиторію TanStack/router і надіслали PR.
«Через використання вразливого тригера pull_request_target у файлі конфігурації bundle-size.yml, шкідливий код автоматично виконався на серверах GitHub без жодного ручного схвалення від мейнтейнерів», — зазначається в матеріалі.
Водночас злив викрадених даних відбувався через мережу завантаження файлів децентралізованого месенджера Session (домени filev2.getsession.org та seed.getsession.org).
Разом із тим завдяки наскрізному шифруванню та відсутності єдиного командного сервера заблокувати цей трафік класичними методами за IP майже неможливо.
Усім, хто встановлював будь-які пакети з родини @tanstack/* вчора рекомендують перевіритися, але пакети query, table, form, virtual та store залишилися чистими.
Як повідомляв нещодавно dev.ua, популярну JavaScript-бібліотеку Axios, яку використовують у тисячах проєктів, скомпрометували через атаку на ланцюг постачання.
