Як пише DOU, зловмисники скомпрометували одразу 42 пакети екосистеми, випустивши 84 шкідливі версії.
Читайте также: Хантавірус в Україні: що це, звідки береться, наскільки смертельний і чи варто панікувати
Повідомляється, що атака відбулася через обхід стандартних механізмів безпеки, а хакери створили замаскований форк репозиторію TanStack/router і надіслали PR.
«Через використання вразливого тригера pull_request_target у файлі конфігурації bundle-size.yml, шкідливий код автоматично виконався на серверах GitHub без жодного ручного схвалення від мейнтейнерів», — зазначається у матеріалі.
При цьому злив викрадених даних відбувався через мережу завантаження файлів децентралізованого месенджера Session (домени filev2.getsession.org та seed.getsession.org).
Читайте также: Григорій Бакланов – Актор Батьки: Життя та Кар’єра
Водночас, завдяки наскрізному шифруванню та відсутності єдиного командного сервера, заблокувати цей трафік класичними методами за IP майже неможливо.
Всім, хто встановлював будь-які пакети з родини @tanstack/* вчора рекомендують перевіритися, але пакети query, table, form, virtual та store залишилися чистими.
Як повідомляв нещодавно dev.ua, популярну JavaScript-бібліотеку Axios, яку використовують у тисячах проєктів, скомпрометували через атаку на ланцюг постачання.
Читайте также: Anthropic представила режим Agent View для Claude Code для управління багатьма ШІ-агентами одночасно