セキュリティ企業Socketは5月11日、TanStackの84個のNPMパッケージに悪意のあるバージョンが見つかったと警報。悪意のあるコードは、AWS、GCP、KubernetesなどのクラウドキーやGitHubトークンを窃取し、外部に漏洩。攻撃者はGitHub Actionsの複数の脆弱性を悪用してNPMに直接悪意のあるパッケージを公開。影響はSquawk、Mistral AI、UiPath、Tally UIなど複数の企業向けツールキットに広がり、合計160以上のパッケージが感染。影響を受ける環境では、NPMトークンやGitHubトークンなどを即時ローテーションし、router_init.jsなどの不審なファイルを削除する必要がある。
This page shows a summary and AI analysis only. For the full original article, use the “Read Original” button above.