Bösartiges npm-Paket: Brand-Squats von TanStack exfiltrieren Entwicklergeheimnisse

Das bösartige Paket befand sich seit über einem Monat auf npm, bevor die Dinge gefährlich wurden. Am 29.

April 2026 begann der Maintainer des Pakets, identifiziert durch den Benutzernamen „sh20raj“, mit dem Veröffentlichen Folge.

Die Versionen 2.0.4 bis 2.0.7 wurden alle innerhalb eines Zeitraums von veröffentlicht, und jede enthielt Code, der darauf ausgelegt war, die „.env“-Dateien , sobald das Paket installiert wurde.

Analysten automatisierte KI-gestützte Erkennung und markierten

Analysten automatisierte KI-gestützte Erkennung und markierten das bösartige `postinstall`-Verhalten, das in dem Paket eingebettet war.

Eine vollständige technische Analyse bestätigte, dass alle vier Versionen dieselbe Exfiltrationsinfrastruktur teilten, was auf einen einzigen, vorsätzlichen Akteur hinter dem Angriff hindeutet und nicht auf eine allmähliche oder versehentliche Kompromittierung. Die Auswirkungen dieses Angriffs gehen über eine einfache Tippfehlerfalle hinaus.

Tanner Linsley, der Schöpfer , bestätigte den Forschern , dass der Maintainer des unqualifizierten „tanstack“-Pakets keinen Bezug zum offiziellen TanStack-Projekt hat. Linsley enthüllte, dass TanStack rechtliche Dokumente bezüglich einer anhängigen Klage wegen Markenrechtsverletzung gegen den Maintainer des Pakets eingereicht hat.

Er gab auch bekannt, dass der

Er gab auch bekannt, dass der Maintainer ihm zuvor $10.000 gefordert hatte und dass TanStack wiederholt versucht hatte, npm zu veranlassen, Maßnahmen zu ergreifen, ohne Erfolg. Dieser Angriff ist ein klares Beispiel für eine schwerwiegende Bedrohung der Lieferkette, die viele Entwickler zu übersehen neigen.

Jeder, der nach TanStack-Tools sucht oder Installationsbefehle aus Tutorials kopiert, könnte leicht das falsche Paket installieren, ohne es zu bemerken.

Jede in dem Projektordner vorhandene Datei wie „.env“, „.env.local“ oder „.env.production“ zum Zeitpunkt der Installation sollte als vollständig kompromittiert betrachtet werden, da diese Dateien typischerweise API-Schlüssel, Datenbankpasswörter und Authentifizierungstoken enthalten, die für die Anwendungssicherheit kritisch sind.

Postinstall-Skript: Wie der Angriff funktionierte Der

Postinstall-Skript: Wie der Angriff funktionierte Der Kern dieses Angriffs lag in den postinstall-Skripten des Pakets. Als ein Entwickler „npm install“ ausführte, wurde das Skript automatisch ausgelöst und begann, das Stammverzeichnis des Projekts nach Umgebungsvariablen-Dateien zu durchsuchen.

Die bösartige Funktion mit dem Namen „collectEnvFiles()“ sammelte jede Datei, die dem Muster „.env“ oder „.env.*“ entsprach, und verpackte sie in eine JSON-Nutzlast. Diese Nutzlast wurde dann über eine HTTPS POST-Anfrage an einen Endpunkt gesendet, der auf Svix gehostet wurde, einem.

Um seinen wahren Zweck zu verbergen, erhielt die Funktion einen harmlock aussehenden Namen, „sendReadme()“, was auf den ersten Blick wie routinemäßige Telemetrie wirkte. Version 2.0.6 war am aggressivsten und scannte das gesamte Installationsverzeichnis nach allen “.env.*”-Varianten und sendete diese still, ohne sichtbare Spuren zu hinterlassen.

Version 2.0.7 reduzierte dies leicht, kommentierte

Version 2.0.7 reduzierte dies leicht, kommentierte jedoch alle Konsolenprotokallaufrufe aus, was es für Sicherheitstools noch schwieriger machte, dies zu erkennen. Der Angreifer nutzte eine Svix-Webhook-Quelle mit der ID „src_3387PLMB2uhXOBe3Q8sHu“ als Einweg-Ablageort für gestohlene Daten.

Jeder konnte Daten an die öffentliche Ingest-URL posten, aber nur der authentifizierte Kontoinhaber konnte einsehen, was eingegangen war, was es für Verteidiger sehr schwierig machte, zu überprüfen, was gestohlen wurde.

Die gleiche Svix-Quell-ID trat in allen vier bösartigen Versionen auf, was bestätigt, dass die gesamte Aktivität , die die Versionen 2.0.4 bis 2.0.7 installiert haben, sollten das Paket deinstallieren und umgehend alle Geheimnisse rotieren.

Alle in betroffenen „.env“-Dateien gespeicherten API-Schlüssel,

Alle in betroffenen „.env“-Dateien gespeicherten API-Schlüssel, Token oder Datenbank-Anmeldeinformationen müssen als vollständig kompromittiert betrachtet und sofort ersetzt werden. Teams sollten ihre „package.json“, „package-lock.json“ und „yarn.lock“-Dateien auf jegliche Referenz zum unqualifizierten „tanstack“-Paket überprüfen und es entfernen.

Organisationen sollten außerdem das unqualifizierte „tanstack“-Paket zu ihren Verzeichnis-Deny-Listen hinzufügen und den ausgehenden Datenverkehr zu „api.svix.com“ , CI/CD-Pipelines und Container-Build-Umgebungen überwachen.

Installieren Sie TanStack-Pakete immer mithilfe des offiziellen, qualifizierten „@tanstack/*“-Formats, um ähnliche Fallen zu vermeiden.

IoC:- Field Value Bösartige Pakete npm/tanstack@2.0.4,

IoC:- Field Value Bösartige Pakete npm/tanstack@2.0.4, 2.0.5, 2.0.6, 2.0.7 npm Autor sh20raj Auslösemechanismus postinstall npm Lebenszyklus-Hook Svix Quelle ID src_3387PLMB2uhXOBe3Q8sHu Exfiltrations-URL hxxps://api[.]svix[.]com/ingest/api/v1/source/src_3387PLMB2uhXOBe3Q8sHu/ Sie uns auf

Setzen Sie CSN als bevorzugte Quelle in Google. Der Beitrag Malicious npm Package Brand-Squats TanStack Exfiltrate Developer Secrets erschien zuerst bei Cyber Security News.