北京赛克艾威科技有限公司 2026-05-12
在 2026\-05\-11,大约在 19:20 至 19:26 UTC 期间,42 个 @tanstack/\* 包在 npm 注册表中发布了 84 个恶意版本。这些发布通过 TanStack/router 的合法 GitHub Actions OIDC 可信发布者绑定进行认证,但发布工作流本身未被修改。攻击者串联了三个已知的漏洞类别——pull\_request\_target "Pwn Request" 配置错误、跨 fork↔base 信任边界的 GitHub Actions 缓存投毒,以及从 Actions 运行进程运行时内存中提取 OIDC 令牌——以可信身份发布窃取凭证的恶意软件。每个受影响的包都获得了恰好两个恶意版本,发布时间相隔几分钟。
暂无