5월 11일 사이버 보안 기관 Socket은 오픈소스 도구 라이브러리 TanStack의 약 84개 NPM 패키지 악성 버전에서 자격 증명 도용 악성 코드를 발견했다고 경고했습니다. 공격은 @tanstack/* 네임스페이스의 42개 프로젝트를 포함하며, 주간 다운로드 수가 1200만 회에 달하는 @tanstack/react-router를 비롯한 광범위한 간접 의존성을 통해 전파되었습니다. 공격자는 패키지에 약 2.3MB의 고도로 혼돈화된 JavaScript 파일을 추가하고, GitHub 특정 커밋을 가리키는 optionalDependencies를 삽입하여 개발자가 패키지를 설치하면 AWS, GCP, Kubernetes, GitHub 토큰 등 민감 정보를 도출해 외부로 유출했습니다. TanStack는 GitHub Actions의 3가지 취약점(Pull Request Target 모드, 포크 간 캐시 독화, OIDC 토큰 추출)이 조합되어 공격이 이루어졌다고 분석했으며, 현재 모든 악성 버전은 폐기되었습니다. 이 공격은 최소 160개 이상의 패키지와 373개의 악성 버전이 관련된 '미니 샤이-휼루드' 공급망 공격의 일부로 분석되었습니다.
This page shows a summary and AI analysis only. For the full original article, use the “Read Original” button above.