npm 曝大规模供应链攻击:TanStack 生态被投毒,可窃取云密钥与GitHub令牌
流行的前端开发库 TanStack 生态(包括 Router, History 等)确认遭遇严重的供应链攻击。攻击者利用受损的 GitHub Actions 工作流,在多个 npm 官方包中植入了名为 "mini-shai-hulud" 的恶意蠕虫。
安全专家及 TanStack 团队调查后确认,受影响的 npm 包版本被植入了混淆的恶意脚本。该攻击具有极强的杀伤力,其核心行为包括:
如果您在过去 24 小时内更新或安装了上述包,务必提高警惕,采取补救措施。
—— GitHub
流行的前端开发库 TanStack 生态(包括 Router, History 等)确认遭遇严重的供应链攻击。攻击者利用受损的 GitHub Actions 工作流,在多个 npm 官方包中植入了名为 "mini-shai-hulud" 的恶意蠕虫。
安全专家及 TanStack 团队调查后确认,受影响的 npm 包版本被植入了混淆的恶意脚本。该攻击具有极强的杀伤力,其核心行为包括:
全方位凭证窃取: 恶意脚本会扫描受害者环境,收集 AWS/GCP 凭证、Kubernetes 令牌、SSH 密钥、GitHub 访问令牌以及 ~/.npmrc 文件。
蠕虫式自我传播: 脚本会利用窃取的权限,自动搜索受害者拥有维护权限的其他 npm 项目,并将恶意代码注入后重新发布,形成链式感染。
报复性自毁机制(预警): 攻击者在 Linux 和 macOS 系统中安装了持久化守护进程。该进程会监控已窃取 GitHub 令牌的有效性。一旦开发者发现泄露并撤销令牌,该脚本将触发 rm -rf ~/. 命令,强制清空用户的家目录。
受影响范围
包括但不限于以下包的最新版本:
@ tanstack/history (1.161.9 - 1.161.12)
@ tanstack/react-router (1.169.5 - 1.169.8)
以及 Router 系列的其他插件与工具包。
如果您在过去 24 小时内更新或安装了上述包,务必提高警惕,采取补救措施。
—— GitHub
