จากการตรวจสอบของ Beating เมื่อวันที่ 12 พฤษภาคม เวลา 3:20–3:26 UTC+8 ผู้โจมตีที่เชื่อมโยงกับ TeamPCP ได้เข้าควบคุมไปป์ไลน์การเผยแพร่ทางการของ TanStack, Amazon OpenSearch และ Mistral โดยผลักดันเวอร์ชันแพ็กเกจที่เป็นอันตราย 84 รายการผ่าน npm และ PyPI แพ็กเกจที่ได้รับผลกระทบได้แก่ @tanstack/react-router (ดาวน์โหลดรายสัปดาห์ 10 ล้าน+), @opensearch-project/opensearch (ดาวน์โหลดรายสัปดาห์ 1.3 ล้าน) และไคลเอนต์ mistralai ของ Mistral แพ็กเกจที่เป็นอันตรายหลบเลี่ยงกลไกความไว้วางใจด้านความปลอดภัยได้ ด้วยการใช้ช่องโหว่ในการตั้งค่า GitHub Actions เพื่อรับสิทธิ์การเผยแพร่ชั่วคราวที่ถูกต้อง ทำให้สามารถได้ลายเซ็นแหล่งที่มาของบิลด์ SLSA ที่ใช้ได้

ผลวิเคราะห์ย้อนกลับของ Socket.dev ระบุว่าเวิร์มยังคงอยู่ต่อแม้จะลบแพ็กเกจแล้ว โดยการฉีดโค้ดเข้าไปใน hook การทำงานของ Claude Code (.claude/settings.json) และการตั้งค่า task ของ VS Code (.vscode/tasks.json) สำหรับแพ็กเกจ Python มัลแวร์จะทำงานอย่างเงียบ ๆ ทันทีเมื่อมีการนำเข้าโดยไม่ต้องเรียกฟังก์ชัน เครื่องที่ได้รับผลกระทบควรถูกถือว่าอาจถูกบุกรุก ผู้ใช้ต้องหมุน (rotate) รหัสผ่าน/คีย์ของ AWS, GitHub, npm และ SSH ทันที และติดตั้งใหม่จาก lockfile ที่สะอาดเท่านั้น

news.view.source

news.article.disclaimer

news.related.news

05-12 03:04

zkPass (ZKP) เตรียมปลดล็อกโทเค็น 16.62 ล้านรายการ มูลค่า 1.39 ล้านดอลลาร์ ในวันที่ 19 พฤษภาคม

05-12 03:03

RateX (RTX) เตรียมปลดล็อกโทเคน 1.23 ล้านมูลค่า 1.71 ล้านดอลลาร์ในวันที่ 19 พฤษภาคม

05-12 02:43

การรั่วไหลของคีย์ส่วนตัว 2 รายการเปิดโปง $238K ภายใน 36 ชั่วโมง GoPlus เตือน

05-12 02:02

Fluid ดำเนินการกระจายความสูญเสียมูลค่า 19.3 ล้านดอลลาร์สหรัฐจากเหตุละเมิดของ Resolv เสร็จสิ้น ยืนยันเงินของผู้ใช้ปลอดภัย

05-12 00:13