RA
Та от знову
Вчора розробники TanStack повідомили, що невідомі зловмисники здійснили атаку на ланцюг постачання та скомпрометували одразу 42 пакети екосистеми, випустивши 84 шкідливі версії.
Дослідники виявили, що зловмисники не зламували особисті акаунти розробників, а використали ланцюжок вразливостей в архітектурі GitHub Actions, щоб безпосередньо опублікувати заражені версії прямо в реєстр npm.
Якщо ви встановлювали будь-які пакети з родини @tanstack/* вчора (зверніть увагу, що пакети query, table, form, virtual та store підтверджено залишилися чистими), вам потрібно перевіритися.
Будь-який хост або CI-сервер, де відбулося встановлення в цей день, апріорі вважається скомпрометованим. Вам необхідно замінити всі локальні ключі, SSH-сертифікати, хмарні токени та доступи до баз даних, які можна було дістати з вашого пристрою.