84 TanStack-Pakete in laufender Supply-Chain-Attacke kompromittiert, die CI-Zugangsdaten ins Visier nimmt

Die Schweregrad-Einstufung lautet HIGH, wobei der Payload in der Lage ist, Zugangsdaten für AWS, GCP, Kubernetes und HashiCorp Vault, GitHub-Token, SSH-Schlüssel sowie den Inhalt von.npmrc-Dateien zu exfiltrieren. Jede kompromittierte Paketversion enthält eine neu injizierte Datei router_init.js mit einer Größe 2,3 MB.

Die Datei verwendet aggressive Obfuskation, die mit dem Tool javascript-obfuscator übereinstimmt, einschließlich der Rotation, hexadezimal codierter Identifier-Nachschlagsverfahren wie _0 ×253b, der Abflachung des Kontrollflusses innerhalb (!![]){}-Zustandsautomaten und die Einbindung unterscheidet sich deutlich esbuild.

Funktionell verfügt die Payload über eine auf spawn basierende Daemonisierung mit einem _DAEMONIZED-Wiederaufnahme-Schutz, direkten Zugriff auf GITHUB_*-Umgebungsvariablen, einschließlich CI-Token und Identität des Akteurs, eine Vorstufe im temporären Verzeichnis mit einem vollständigen Lebenszyklus aus Lesen, Schreiben und Löschen sowie Remote-Streaming- und Dispatch-Operationen, die darauf ausgelegt sind, erbeutete Geheimnisse zu exfiltrieren.

TanStack npm-Pakete wurden gehackt.

TanStack npm-Pakete wurden gehackt. Auch die bösartigen Paketversionen führen ein optionalesDependencies-Feld in package.json ein, das auf einen verdächtigen, isolierten Commit-Hash 79ac49eedf774dd4b0cfa308722bc463cfe5885c im TanStack/router-GitHub-Repository verweist. Dieser Commit verfügt über keine Elternhistorie und führt lediglich eine package.json sowie einen gebündelten tanstack_runner.js-Payload ein.

Kritisch ist, dass die package.json einen prepare-Lebenszyklus-Hook registriert, der `bun run tanstack_runner.js && exit 1` ausführt, wodurch beliebiger Code automatisch auf Entwickler-Workstations oder CI-Runnern während der Installation ausgeführt wird.

Der eigene Post-Mortem, dass die Angriffsreihe drei verschachtelte Missbrauchstechniken: das „Pwn Request"-Muster über pull_request_target, das Caching-Poisoning über die Vertrauengrenze die Laufzeit-Erfassung eines OIDC-Tokens aus dem Actions-Runner-Prozess. Es wurden keine npm-Token gestohlen.

Stattdessen wurden die bösartigen Verleger über

Stattdessen wurden die bösartigen Verleger über die OIDC-Verbindung als vertrauenswürdiger Publisher des Projekts authentifiziert, nachdem vom Angreifer kontrollierter Code während der Test- und Bereinigungsphase des Workflows ausgeführt wurde, woraufhin Pakete direkt an npm gepostet wurden. Der bsartige Commit wurde erstellt, dessen ffentliche Repositories ein Projekt mit dem Namen A Mini Shai-Hulud has Appeared" enthalten.

Dieser Begriff ist mit jngsten gro angelegten npm-Malware-Kampagnen verbunden und deutet stark auf einen Kontenbergriff hin. TanStack hat alle 84 betroffenen Versionen mit einer SECURITY-Warnung als veraltet markiert und sich an die npm-Sicherheit gewandt, um die bsartigen Tarballs auf Registry-Ebene zu entfernen.

GitHub Actions-Cache-Eintrge wurden gelscht, und Hardening-nderungen wurden zusammengefhrt, um das anfllige Workflow zu restrukturieren, Repository-Besitzer-Schutzmechanismen hinzuzufgen und Referenzen auf Drittanbieter-Aktionen zu fixieren. Jeder Entwickler, der ein @tanstack/*-Paket zwischen [Datum] und [Datum] UTC installiert hat, sollte den Host als potenziell kompromittiert betrachten.

Sofortmanahmen umfassen das Rotieren aller Cloud-, GitHub- und SSH-Zugangsdaten, die Prfung sowie die Neuinstallation aus einem sauberen Lockfile, das auf eine bekannte, sichere Version festgelegt ist. Jede Paketversion, die in ihrem Feld `optionalDependencies` den Eintrag `"@tanstack/setup": "github:tanstack/router#79ac49ee..."` enthält, gilt als bösartig. Sie uns auf