TanStack взломали через supply chain атаку
Злоумышленники скомпрометировали часть @tanstack/* пакетов через цепочку CI/CD-уязвимостей в GitHub Actions. Сценарий был довольно сложным: атакующий использовал pull_request_target, отравление GitHub Actions cache между fork и base, а затем через выполнение вредоносного кода внутри workflow смог извлечь OIDC-токен раннера. После этого вредоносные версии публиковались уже через легитимный release pipeline, то есть формально от имени настоящей инфраструктуры проекта.
История довольно показательная: даже крупные и зрелые open-source экосистемы остаются уязвимыми не только на уровне кода, но и на уровне инфраструктуры поставки. Хорошее напоминание, что безопасность сегодня — это уже не только зависимости, но и весь pipeline вокруг них.
Злоумышленники скомпрометировали часть @tanstack/* пакетов через цепочку CI/CD-уязвимостей в GitHub Actions. Сценарий был довольно сложным: атакующий использовал pull_request_target, отравление GitHub Actions cache между fork и base, а затем через выполнение вредоносного кода внутри workflow смог извлечь OIDC-токен раннера. После этого вредоносные версии публиковались уже через легитимный release pipeline, то есть формально от имени настоящей инфраструктуры проекта.
История довольно показательная: даже крупные и зрелые open-source экосистемы остаются уязвимыми не только на уровне кода, но и на уровне инфраструктуры поставки. Хорошее напоминание, что безопасность сегодня — это уже не только зависимости, но и весь pipeline вокруг них.
