#tanstack — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #tanstack, aggregated by home.social.
-
🚨 42 npm packages - 84 malicious versions - Pushed in just 6 minutes 🚨
#TanStack just dropped a detailed postmortem on a sophisticated #SupplyChain attack exposing developers and CI/CD pipelines to credential theft and malware propagation.
🔗 Read more: https://bit.ly/4utUl7s
-
🚨 42 npm packages - 84 malicious versions - Pushed in just 6 minutes 🚨
#TanStack just dropped a detailed postmortem on a sophisticated #SupplyChain attack exposing developers and CI/CD pipelines to credential theft and malware propagation.
🔗 Read more: https://bit.ly/4utUl7s
-
🚨 42 npm packages - 84 malicious versions - Pushed in just 6 minutes 🚨
#TanStack just dropped a detailed postmortem on a sophisticated #SupplyChain attack exposing developers and CI/CD pipelines to credential theft and malware propagation.
🔗 Read more: https://bit.ly/4utUl7s
-
🚨 42 npm packages - 84 malicious versions - Pushed in just 6 minutes 🚨
#TanStack just dropped a detailed postmortem on a sophisticated #SupplyChain attack exposing developers and CI/CD pipelines to credential theft and malware propagation.
🔗 Read more: https://bit.ly/4utUl7s
-
🚨 42 npm packages - 84 malicious versions - Pushed in just 6 minutes 🚨
#TanStack just dropped a detailed postmortem on a sophisticated #SupplyChain attack exposing developers and CI/CD pipelines to credential theft and malware propagation.
🔗 Read more: https://bit.ly/4utUl7s
-
OpenAI na celowniku hakerów. Sprytny atak i pilna aktualizacja aplikacji dla macOS
OpenAI, twórcy legendarnego ChatGPT, padli ofiarą zaawansowanego cyberataku typu „supply chain” (atak na łańcuch dostaw).
Cyberprzestępcy nie forsowali pancernych cyfrowych drzwi firmy – zamiast tego podrzucili „konia trojańskiego” do darmowego i powszechnie używanego narzędzia programistycznego, z którego korzystają deweloperzy na całym świecie. Efektem incydentu jest wyciek wewnętrznych haseł i konieczność awaryjnego zresetowania certyfikatów bezpieczeństwa dla aplikacji na system macOS.
Jak działa atak na łańcuch dostaw?
W świecie nowoczesnego oprogramowania nikt nie pisze kodu całkowicie od zera. Programiści budują aplikacje niczym konstrukcje z klocków LEGO, wykorzystując gotowe, darmowe i publicznie dostępne biblioteki funkcji (tzw. pakiety). Hakerzy z grupy TeamPCP postanowili to wykorzystać.
Zamiast atakować serwery OpenAI, „zatruli” złośliwym kodem popularne narzędzie o nazwie TanStack, z którego pobierany jest kod do tysięcy projektów internetowych. Złośliwy robak, nazwany przez badaczy „Mini Shai-Hulud” (w nawiązaniu do gigantycznych czerwi z uniwersum „Diuny”), czekał na swoją szansę. Gdy tylko niczego nieświadomy programista pobrał oficjalną aktualizację wspomnianego narzędzia, złośliwy kod automatycznie instalował się na jego komputerze.
Atak na łańcuch dostaw. Złośliwa aktualizacja Bitwarden CLI zagrażała deweloperom
Pechowa dwójka i opóźnione procedury
Taki scenariusz ziścił się w biurach OpenAI. Zainfekowane zostały komputery dwóch pracowników. Co ciekawe, firma wiedziała o tego typu zagrożeniach i przygotowała specjalne systemy obronne, które miały blokować instalację niezweryfikowanych pakietów. Dlaczego więc zawiodły?
Z oficjalnego komunikatu OpenAI wynika, że firma była w trakcie stopniowego (etapowego) wdrażania nowej konfiguracji zabezpieczeń na urządzenia pracowników. Laptopy wspomnianej dwójki po prostu nie zdążyły jeszcze otrzymać odpowiedniej aktualizacji przed atakiem hakerów. Po zainfekowaniu maszyn, robak „Mini Shai-Hulud” natychmiast przystąpił do przeszukiwania dysków, wykradał loginy, hasła oraz cyfrowe klucze dostępu do wewnętrznych repozytoriów kodu źródłowego OpenAI.
„Brak dowodów” to nie dowód bezpieczeństwa
W oficjalnych komunikatach OpenAI stara się tonować nastroje, uspokajając użytkowników formułką: „Nie znaleźliśmy żadnych dowodów na to, że uzyskano dostęp do danych użytkowników, a nasze systemy produkcyjne zostały naruszone”.
Eksperci ds. cyberbezpieczeństwa (m.in. z polskiego serwisu Sekurak) radzą jednak podchodzić do tych zapewnień z dystansem. W świecie IT korporacyjne stwierdzenie „nie mamy dowodów” bardzo często oznacza po prostu, że firma w danym momencie nie dysponowała odpowiednio szczegółowymi logami (zapisami aktywności systemu), które pozwoliłyby jednoznacznie potwierdzić pełną skalę szkód wyrządzonych przez hakerów.
Co to oznacza dla użytkowników komputerów Mac?
Reakcja OpenAI była jednak na tyle stanowcza, że potwierdza powagę sytuacji. W ręce hakerów mogły wpaść tzw. certyfikaty podpisywania kodu. To cyfrowe pieczęcie, które udowadniają systemowi macOS, że instalowana aplikacja jest bezpieczna i pochodzi z legalnego źródła.
W związku z tym OpenAI podjęło decyzję o natychmiastowym unieważnieniu starego certyfikatu dla swoich aplikacji na systemy Apple. W efekcie starsze wersje programu ChatGPT dla macOS mogą zostać automatycznie zablokowane przez system operacyjny Maca jako potencjalne zagrożenie. Użytkownicy tej aplikacji powinni jak najszybciej pobrać jej najnowszą, oficjalną aktualizację, aby zachować ciągłość działania programu i pełne bezpieczeństwo.
#ChatGPT #cyberbezpieczeństwo #hakerzy #iMagazine #macOS #OpenAI #Sekurak #supplyChain #TanStack #technologia -
OpenAI na celowniku hakerów. Sprytny atak i pilna aktualizacja aplikacji dla macOS
OpenAI, twórcy legendarnego ChatGPT, padli ofiarą zaawansowanego cyberataku typu „supply chain” (atak na łańcuch dostaw).
Cyberprzestępcy nie forsowali pancernych cyfrowych drzwi firmy – zamiast tego podrzucili „konia trojańskiego” do darmowego i powszechnie używanego narzędzia programistycznego, z którego korzystają deweloperzy na całym świecie. Efektem incydentu jest wyciek wewnętrznych haseł i konieczność awaryjnego zresetowania certyfikatów bezpieczeństwa dla aplikacji na system macOS.
Jak działa atak na łańcuch dostaw?
W świecie nowoczesnego oprogramowania nikt nie pisze kodu całkowicie od zera. Programiści budują aplikacje niczym konstrukcje z klocków LEGO, wykorzystując gotowe, darmowe i publicznie dostępne biblioteki funkcji (tzw. pakiety). Hakerzy z grupy TeamPCP postanowili to wykorzystać.
Zamiast atakować serwery OpenAI, „zatruli” złośliwym kodem popularne narzędzie o nazwie TanStack, z którego pobierany jest kod do tysięcy projektów internetowych. Złośliwy robak, nazwany przez badaczy „Mini Shai-Hulud” (w nawiązaniu do gigantycznych czerwi z uniwersum „Diuny”), czekał na swoją szansę. Gdy tylko niczego nieświadomy programista pobrał oficjalną aktualizację wspomnianego narzędzia, złośliwy kod automatycznie instalował się na jego komputerze.
Atak na łańcuch dostaw. Złośliwa aktualizacja Bitwarden CLI zagrażała deweloperom
Pechowa dwójka i opóźnione procedury
Taki scenariusz ziścił się w biurach OpenAI. Zainfekowane zostały komputery dwóch pracowników. Co ciekawe, firma wiedziała o tego typu zagrożeniach i przygotowała specjalne systemy obronne, które miały blokować instalację niezweryfikowanych pakietów. Dlaczego więc zawiodły?
Z oficjalnego komunikatu OpenAI wynika, że firma była w trakcie stopniowego (etapowego) wdrażania nowej konfiguracji zabezpieczeń na urządzenia pracowników. Laptopy wspomnianej dwójki po prostu nie zdążyły jeszcze otrzymać odpowiedniej aktualizacji przed atakiem hakerów. Po zainfekowaniu maszyn, robak „Mini Shai-Hulud” natychmiast przystąpił do przeszukiwania dysków, wykradał loginy, hasła oraz cyfrowe klucze dostępu do wewnętrznych repozytoriów kodu źródłowego OpenAI.
„Brak dowodów” to nie dowód bezpieczeństwa
W oficjalnych komunikatach OpenAI stara się tonować nastroje, uspokajając użytkowników formułką: „Nie znaleźliśmy żadnych dowodów na to, że uzyskano dostęp do danych użytkowników, a nasze systemy produkcyjne zostały naruszone”.
Eksperci ds. cyberbezpieczeństwa (m.in. z polskiego serwisu Sekurak) radzą jednak podchodzić do tych zapewnień z dystansem. W świecie IT korporacyjne stwierdzenie „nie mamy dowodów” bardzo często oznacza po prostu, że firma w danym momencie nie dysponowała odpowiednio szczegółowymi logami (zapisami aktywności systemu), które pozwoliłyby jednoznacznie potwierdzić pełną skalę szkód wyrządzonych przez hakerów.
Co to oznacza dla użytkowników komputerów Mac?
Reakcja OpenAI była jednak na tyle stanowcza, że potwierdza powagę sytuacji. W ręce hakerów mogły wpaść tzw. certyfikaty podpisywania kodu. To cyfrowe pieczęcie, które udowadniają systemowi macOS, że instalowana aplikacja jest bezpieczna i pochodzi z legalnego źródła.
W związku z tym OpenAI podjęło decyzję o natychmiastowym unieważnieniu starego certyfikatu dla swoich aplikacji na systemy Apple. W efekcie starsze wersje programu ChatGPT dla macOS mogą zostać automatycznie zablokowane przez system operacyjny Maca jako potencjalne zagrożenie. Użytkownicy tej aplikacji powinni jak najszybciej pobrać jej najnowszą, oficjalną aktualizację, aby zachować ciągłość działania programu i pełne bezpieczeństwo.
#ChatGPT #cyberbezpieczeństwo #hakerzy #iMagazine #macOS #OpenAI #Sekurak #supplyChain #TanStack #technologia -
Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & 169 Packages
A large-scale supply chain attack targeted npm and PyPI packages from major projects like TanStack, Mistral AI, UiPath, and OpenSearch, exploiting GitHub Actions vulnerabilities to steal credentials and publish malici...
🔗 https://salehgnutux.github.io/GT-NEWSTECH/en/ai/mini-shai-hulud-supply-chain-attack/
#Mini_Shai-Hulud #Cybersecurity #Supply_Chain #npm #PyPI #TanStack #Mistral_AI #GitHub_Actions
-
Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & 169 Packages
A large-scale supply chain attack targeted npm and PyPI packages from major projects like TanStack, Mistral AI, UiPath, and OpenSearch, exploiting GitHub Actions vulnerabilities to steal credentials and publish malici...
🔗 https://salehgnutux.github.io/GT-NEWSTECH/en/ai/mini-shai-hulud-supply-chain-attack/
#Mini_Shai-Hulud #Cybersecurity #Supply_Chain #npm #PyPI #TanStack #Mistral_AI #GitHub_Actions
-
Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & 169 Packages
A large-scale supply chain attack targeted npm and PyPI packages from major projects like TanStack, Mistral AI, UiPath, and OpenSearch, exploiting GitHub Actions vulnerabilities to steal credentials and publish malici...
🔗 https://salehgnutux.github.io/GT-NEWSTECH/en/ai/mini-shai-hulud-supply-chain-attack/
#Mini_Shai-Hulud #Cybersecurity #Supply_Chain #npm #PyPI #TanStack #Mistral_AI #GitHub_Actions
-
دودة Mini Shai-Hulud: هجوم سلسلة توريد يطال TanStack وMistral AI و169 حزمة برمجية
هجوم واسع النطاق لسلسلة التوريد استهدف حزم npm وPyPI الخاصة بمشاريع كبرى مثل TanStack وMistral AI وUiPath وOpenSearch، مستغلاً ثغرات في GitHub Actions لسرقة الشهادات ونشر برمجيات خبيثة مع أدوات إثبات صحة مزورة.
🔗 https://salehgnutux.github.io/GT-NEWSTECH/ar/ai/mini-shai-hulud-supply-chain-attack/
#Mini_Shai-Hulud #أمن_سيبراني #سلسلة_توريد #npm #PyPI #TanStack #Mistral_AI #GitHub_Actions
-
دودة Mini Shai-Hulud: هجوم سلسلة توريد يطال TanStack وMistral AI و169 حزمة برمجية
هجوم واسع النطاق لسلسلة التوريد استهدف حزم npm وPyPI الخاصة بمشاريع كبرى مثل TanStack وMistral AI وUiPath وOpenSearch، مستغلاً ثغرات في GitHub Actions لسرقة الشهادات ونشر برمجيات خبيثة مع أدوات إثبات صحة مزورة.
🔗 https://salehgnutux.github.io/GT-NEWSTECH/ar/ai/mini-shai-hulud-supply-chain-attack/
#Mini_Shai-Hulud #أمن_سيبراني #سلسلة_توريد #npm #PyPI #TanStack #Mistral_AI #GitHub_Actions
-
دودة Mini Shai-Hulud: هجوم سلسلة توريد يطال TanStack وMistral AI و169 حزمة برمجية
هجوم واسع النطاق لسلسلة التوريد استهدف حزم npm وPyPI الخاصة بمشاريع كبرى مثل TanStack وMistral AI وUiPath وOpenSearch، مستغلاً ثغرات في GitHub Actions لسرقة الشهادات ونشر برمجيات خبيثة مع أدوات إثبات صحة مزورة.
🔗 https://salehgnutux.github.io/GT-NEWSTECH/ar/ai/mini-shai-hulud-supply-chain-attack/
#Mini_Shai-Hulud #أمن_سيبراني #سلسلة_توريد #npm #PyPI #TanStack #Mistral_AI #GitHub_Actions
-
#TanStack verschärft Sicherheitsvorkehrungen nach #SupplyChain-Attacken | Developer https://www.heise.de/news/Nach-Cyberangriffen-TanStack-prueft-Einschraenkungen-fuer-Pull-Requests-11299058.html
-
Mini Shai-Hulud: TeamPCP compromette 160+ pacchetti npm e PyPI in un supply chain attack che ha colpito TanStack, Mistral AI e OpenAI
Tra il 11 e il 14 maggio 2026, il gruppo TeamPCP ha compromesso oltre 160 pacchetti npm e 2 PyPI in un supply chain attack di nuova generazione soprannominato 'Mini Shai-Hulud'. Attraverso l'avvelenamento della cache GitHub Actions, il malware si è auto-propagato nei namespace di TanStack, Mistral AI e UiPath. Il pacchetto node-ipc (822K download settimanali) è stato compromesso separatamente con un payload che rubava 90+ categorie di credenziali. Tra le vittime: due dipendenti di OpenAI. -
Mini Shai-Hulud: TeamPCP compromette 160+ pacchetti npm e PyPI in un supply chain attack che ha colpito TanStack, Mistral AI e OpenAI
Tra il 11 e il 14 maggio 2026, il gruppo TeamPCP ha compromesso oltre 160 pacchetti npm e 2 PyPI in un supply chain attack di nuova generazione soprannominato 'Mini Shai-Hulud'. Attraverso l'avvelenamento della cache GitHub Actions, il malware si è auto-propagato nei namespace di TanStack, Mistral AI e UiPath. Il pacchetto node-ipc (822K download settimanali) è stato compromesso separatamente con un payload che rubava 90+ categorie di credenziali. Tra le vittime: due dipendenti di OpenAI. -
Mini Shai-Hulud: TeamPCP compromette 160+ pacchetti npm e PyPI in un supply chain attack che ha colpito TanStack, Mistral AI e OpenAI
Tra il 11 e il 14 maggio 2026, il gruppo TeamPCP ha compromesso oltre 160 pacchetti npm e 2 PyPI in un supply chain attack di nuova generazione soprannominato 'Mini Shai-Hulud'. Attraverso l'avvelenamento della cache GitHub Actions, il malware si è auto-propagato nei namespace di TanStack, Mistral AI e UiPath. Il pacchetto node-ipc (822K download settimanali) è stato compromesso separatamente con un payload che rubava 90+ categorie di credenziali. Tra le vittime: due dipendenti di OpenAI. -
Mini Shai-Hulud: TeamPCP compromette 160+ pacchetti npm e PyPI in un supply chain attack che ha colpito TanStack, Mistral AI e OpenAI
Tra il 11 e il 14 maggio 2026, il gruppo TeamPCP ha compromesso oltre 160 pacchetti npm e 2 PyPI in un supply chain attack di nuova generazione soprannominato 'Mini Shai-Hulud'. Attraverso l'avvelenamento della cache GitHub Actions, il malware si è auto-propagato nei namespace di TanStack, Mistral AI e UiPath. Il pacchetto node-ipc (822K download settimanali) è stato compromesso separatamente con un payload che rubava 90+ categorie di credenziali. Tra le vittime: due dipendenti di OpenAI. -
Mini Shai-Hulud: TeamPCP compromette 160+ pacchetti npm e PyPI in un supply chain attack che ha colpito TanStack, Mistral AI e OpenAI
Tra il 11 e il 14 maggio 2026, il gruppo TeamPCP ha compromesso oltre 160 pacchetti npm e 2 PyPI in un supply chain attack di nuova generazione soprannominato 'Mini Shai-Hulud'. Attraverso l'avvelenamento della cache GitHub Actions, il malware si è auto-propagato nei namespace di TanStack, Mistral AI e UiPath. Il pacchetto node-ipc (822K download settimanali) è stato compromesso separatamente con un payload che rubava 90+ categorie di credenziali. Tra le vittime: due dipendenti di OpenAI. -
Our response to the TanStack npm supply chain attack
#OpenAI #TanStack #npm
https://openai.com/index/our-response-to-the-tanstack-npm-supply-chain-attack/ -
A Worm Just Ate Its Way Through the npm Registry…, by @fireship.bsky.social:
-
A Worm Just Ate Its Way Through the npm Registry…, by @fireship.bsky.social:
-
A Worm Just Ate Its Way Through the npm Registry…, by @fireship.bsky.social:
-
A Worm Just Ate Its Way Through the npm Registry…, by @fireship.bsky.social:
-
A Worm Just Ate Its Way Through the npm Registry…, by @fireship.bsky.social:
-
🪤 OpenAI caught in TanStack npm supply chain chaos after employee devices compromised
「 OpenAI says attackers behind the TanStack npm supply chain compromise stole internal credentials after reaching two employee devices, forcing the company to rotate signing certificates for several desktop products. 」
-
"Two employee devices were compromised in the attack, and credential material was stolen from OpenAI code repositories."
Security Week: OpenAI Hit by TanStack Supply Chain Attack https://www.securityweek.com/openai-hit-by-tanstack-supply-chain-attack/ @SecurityWeek #OpenAI #TanStack #infosec #cyberattack
-
"Two employee devices were compromised in the attack, and credential material was stolen from OpenAI code repositories."
Security Week: OpenAI Hit by TanStack Supply Chain Attack https://www.securityweek.com/openai-hit-by-tanstack-supply-chain-attack/ @SecurityWeek #OpenAI #TanStack #infosec #cyberattack
-
"Two employee devices were compromised in the attack, and credential material was stolen from OpenAI code repositories."
Security Week: OpenAI Hit by TanStack Supply Chain Attack https://www.securityweek.com/openai-hit-by-tanstack-supply-chain-attack/ @SecurityWeek #OpenAI #TanStack #infosec #cyberattack
-
#OpenAI says hackers stole some data after latest code security issue
-
#OpenAI says hackers stole some data after latest code security issue
-
#OpenAI says hackers stole some data after latest code security issue
-
#OpenAI says hackers stole some data after latest code security issue
-
#OpenAI says hackers stole some data after latest code security issue
-
TanStack Supply Chain Attack Targets OpenAI, Forces macOS Updates
OpenAI sprang into action after detecting a sneaky supply chain attack targeting TanStack, quickly investigating and containing the threat to protect its systems. The attack impacted just two employee devices, with limited internal code repositories and credential material compromised.
-
https://winbuzzer.com/2026/05/15/openai-confirms-security-breach-in-tanstack-supply-xcxwbn/
OpenAI confirmed that a poisoned open-source package breached employee devices and let attackers steal credentials from a limited set of its internal source code repositories.
#AI #OpenAI #Cybersecurity #Malware #DataBreaches #TanStack #MiniShaiHulud #npm
-
https://winbuzzer.com/2026/05/15/openai-confirms-security-breach-in-tanstack-supply-xcxwbn/
OpenAI confirmed that a poisoned open-source package breached employee devices and let attackers steal credentials from a limited set of its internal source code repositories.
#AI #OpenAI #Cybersecurity #Malware #DataBreaches #TanStack #MiniShaiHulud #npm
-
OpenAI Disrupted in TanStack npm Supply Chain Breach
Malicious packages have rocked the TanStack npm supply chain, with 84 tainted versions of 42 @tanstack/* packages published, drawing OpenAI into the crisis and prompting urgent action to secure its systems. The AI company has confirmed that attackers compromised two employee devices, stealing credentials and forcing a reset across multiple desktop products.
-
React開発者注意:TanStack Router攻撃事件まとめ
https://qiita.com/tuanphan/items/c7f5838aef1afea9f631?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items -
React開発者注意:TanStack Router攻撃事件まとめ
https://qiita.com/tuanphan/items/c7f5838aef1afea9f631?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items -
#SupplyChain-Angriff auf #TanStack: 42 Pakete kompromittiert | Developer https://www.heise.de/news/Supply-Chain-Angriff-auf-TanStack-42-Pakete-kompromittiert-11290715.html #npm #MiniShaiHulud #Patchday #CredentialStealer
-
#SupplyChain-Angriff auf #TanStack: 42 Pakete kompromittiert | Developer https://www.heise.de/news/Supply-Chain-Angriff-auf-TanStack-42-Pakete-kompromittiert-11290715.html #npm #MiniShaiHulud #Patchday #CredentialStealer
-
#SupplyChain-Angriff auf #TanStack: 42 Pakete kompromittiert | Developer https://www.heise.de/news/Supply-Chain-Angriff-auf-TanStack-42-Pakete-kompromittiert-11290715.html #npm #MiniShaiHulud #Patchday #CredentialStealer
-
#SupplyChain-Angriff auf #TanStack: 42 Pakete kompromittiert | Developer https://www.heise.de/news/Supply-Chain-Angriff-auf-TanStack-42-Pakete-kompromittiert-11290715.html #npm #MiniShaiHulud #Patchday #CredentialStealer
-
#Socket detected a #supplychainattack on 84 #TanStack #npm packages, including popular ones like tanstack/react-router, which were compromised with suspected credential-stealing malware. The attack involved a chained #GitHub Actions attack and resulted in the publication of malicious packages authenticated through the project’s #OIDC trusted-publisher binding. https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack?eicker.news #tech #media #news
-
#Socket detected a #supplychainattack on 84 #TanStack #npm packages, including popular ones like tanstack/react-router, which were compromised with suspected credential-stealing malware. The attack involved a chained #GitHub Actions attack and resulted in the publication of malicious packages authenticated through the project’s #OIDC trusted-publisher binding. https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack?eicker.news #tech #media #news
-
#Socket detected a #supplychainattack on 84 #TanStack #npm packages, including popular ones like tanstack/react-router, which were compromised with suspected credential-stealing malware. The attack involved a chained #GitHub Actions attack and resulted in the publication of malicious packages authenticated through the project’s #OIDC trusted-publisher binding. https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack?eicker.news #tech #media #news
-
#Socket detected a #supplychainattack on 84 #TanStack #npm packages, including popular ones like tanstack/react-router, which were compromised with suspected credential-stealing malware. The attack involved a chained #GitHub Actions attack and resulted in the publication of malicious packages authenticated through the project’s #OIDC trusted-publisher binding. https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack?eicker.news #tech #media #news
-
#Socket detected a #supplychainattack on 84 #TanStack #npm packages, including popular ones like tanstack/react-router, which were compromised with suspected credential-stealing malware. The attack involved a chained #GitHub Actions attack and resulted in the publication of malicious packages authenticated through the project’s #OIDC trusted-publisher binding. https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack?eicker.news #tech #media #news