总结2026 年 5 月 11 日 19:20 至 19:26 UTC 期间攻击者通过结合“Pwn Request”模式的 pull_request_target、跨越分叉↔主库信任边界的 GitHub Actions 缓存投毒以及从 GitHub Actions 运行器进程中提取 OIDC 令牌在 42 个 tanstack/* npm 包中发布了 84 个恶意版本。此次攻击未窃取 npm 令牌npm 发布工作流本身也未被攻破。外部研究人员 ashishkurmi 在 20 分钟内公开检测到了这些恶意版本。所有受影响的版本已被弃用npm 安全团队已介入从注册表中移除相关 tarball。虽然目前没有证据表明 npm 凭证被盗取但建议在 2026 年 5 月 11 日安装了受影响版本的用户对安装主机可访问的 AWS、GCP、Kubernetes、Vault、GitHub、npm 和 SSH 凭证进行轮换。影响受影响的包42 个包84 个版本每个包两个版本发布时间相隔约 6 分钟。完整列表可查看跟踪问题。已确认安全的包系列有tanstack/query*、tanstack/table*、tanstack/form*、tanstack/virtual*、tanstack/store、tanstack/start元包不包括 tanstack/start - *。恶意软件的行为当开发者或 CI 环境针对任何受影响版本运行 npm install、pnpm install 或 yarn install 时npm 会解析恶意的 optionalDependencies 条目从分叉网络中获取孤立的有效负载提交运行其 prepare 生命周期脚本并执行一个约 2.3 MB 的混淆文件 router_init.js该文件被偷偷放入受影响的 tarball 中。该脚本会从常见位置收集凭证包括 AWS IMDS / 秘密管理器、GCP 元数据、Kubernetes 服务账户令牌、Vault 令牌、~/.npmrc、GitHub 令牌环境变量、gh CLI、.git - credentials、SSH 私钥。通过 Session/Oxen 信使文件上传网络filev2.getsession.org、seed{1,2,3}.getsession.org进行数据外泄数据采用端到端加密无攻击者控制的 C2因此通过 IP/域名阻止是唯一的网络缓解措施。自我传播通过 registry.npmjs.org/-/v1/search?textmaintainer: 枚举受害者维护的其他包并以相同的注入方式重新发布这些包。由于有效负载在 npm install 的生命周期中运行因此在 2026 年 5 月 11 日安装了受影响版本的用户必须将安装主机视为可能已被攻破。时间线攻击前缓存投毒阶段2026 - 05 - 10 17:16攻击者创建分叉 [github.com/zblgg/configuration](https://github.com/zblgg/configuration)TanStack/router 的分叉故意重命名以规避分叉列表搜索。2026 - 05 - 10 23:29恶意提交 65bf499d16a5e8d25ba95d69ec9790a6dd4a1f14 由伪造身份 claude 在分叉上创建。添加了 packages/history/vite_setup.mjs一个约 30,000 行的捆绑 JS 有效负载。提交消息前缀为 [skip ci]以抑制推送事件时的 CI 运行。2026 - 05 - 11 ~10:49zblgg 针对 TanStack/router#main 发起 PR #7378标题为“WIP: simplify history build”。2026 - 05 - 11 10:49 起bundle - size.yml 和 labeler.yml均为 pull_request_target为该 PR 自动运行由于 pull_request_target 绕过了首次贡献者审批无需审批即可运行。而 pr.yml使用 pull_request未运行等待审批但未获得。2026 - 05 - 11 11:01–11:11zblgg 多次强制推送到 PR 头部每次都触发更多的 pull_request_target 运行。2026 - 05 - 11 11:11强制推送将 65bf499d恶意提交推送到 PR 头部。bundle - size.yml 的 benchmark - pr 作业检出 refs/pull/7378/merge运行 pnpm install pnpm nx run benchmarks/bundle - size:build这会执行 vite_setup.mjs。2026 - 05 - 11 11:29缓存条目 Linux - pnpm - store - 6f9233a50def742c09fde54f56553d6b449a535adf87d4083690539f49ae4da111.1 GB保存到 GitHub Actions 缓存中用于 TanStack/router作用域为 refs/heads/main键值与 release.yml 在下一次推送到主分支时查找的键匹配。2026 - 05 - 11 11:31攻击者将 PR 强制推回到当前主分支头部b1c061af使可见的 PR 变为无操作的 0 文件 PR。PR 在同一分钟内关闭并删除分支但缓存投毒仍然存在。爆发发布阶段2026 - 05 - 11 19:15Manuel 合并 PR #7369Shkumbin 的 CSS.supports 修复推送到主分支触发 release.yml。工作流运行 25613093674 开始19:15:44并失败。2026 - 05 - 11 19:20:39npm 注册表收到 tanstack/history1.161.9 和 41 个兄弟包的发布请求42 个包共约 84 个版本但只有约一半显示在这一秒其余在运行 #2 期间发布。发布通过 TanStack/router release.ymlrefs/heads/main 的 OIDC 可信发布者绑定进行身份验证但并非来自工作流中定义的“发布包”步骤该步骤因测试失败而跳过。发布来自测试/清理阶段运行的恶意软件该恶意软件通过工作流的 id - token: write 权限生成 OIDC 令牌并直接向 registry.npmjs.org 发送 POST 请求。2026 - 05 - 11 19:20:47运行 25613093674 完成状态失败。2026 - 05 - 11 19:16Manuel 合并 PR #7382jiti tsconfig 路径修复第二次推送到主分支触发 release.yml。2026 - 05 - 11 19:16:22工作流运行 25691781302 开始恢复相同的投毒缓存。2026 - 05 - 11 19:26:14npm 注册表收到每个包第二个版本的发布请求如 tanstack/history1.161.12 等使用相同的 OIDC 机制。2026 - 05 - 11 19:26:20运行 25691781302 完成状态失败。检测与响应2026 - 05 - 11 ~19:50外部研究人员carlini开启问题 #7383详细记录了恶意 optionalDependencies 的指纹和包列表最初为 42 个中的 14 个。2026 - 05 - 11 ~19:50研究人员直接通知 npm 安全团队。2026 - 05 - 11 ~20:00Manuel 在 #7383 中确认事件响应开始。2026 - 05 - 11 ~20:10Manuel 移除了 GitHub 上其他团队的所有推送权限以防用户机器已被攻破。2026 - 05 - 11 ~20:30Tanner 向 [securitynpmjs.com](mailto:securitynpmjs.com) 发送完整的 IOC 列表并请求从注册表端移除 tarball。通过 npm 提交正式的恶意软件报告。2026 - 05 - 11 ~21:00对所有 295 个 tanstack/* 包进行全面扫描确认受影响范围为 42 个包、84 个版本。Tanner 开始对所有 84 个受影响的包进行 npm 弃用处理。tan_stack 和维护者在 Twitter/X/LinkedIn/Bluesky 上公开披露事件。2026 - 05 - 11 21:30调查确定了 bundle - size.yml 的 pull_request_target 缓存投毒向量以及 zblgg/configuration 分叉。通过 API 清除所有 TanStack/* GitHub 仓库的缓存条目。合并强化 PR重构 bundle - size.yml添加 repository_owner 防护将第三方操作引用固定为 SHA。发布官方 GitHub 安全公告并请求 CVE。根本原因此次攻击由三个漏洞串联而成每个漏洞都是攻击成功的必要条件单独一个漏洞都不足以导致攻击成功。1. bundle - size.yml 中的 pull_request_target “Pwn Request”模式bundle - size.yml 为分叉 PR 运行 pull_request_target并在该触发上下文中检出分叉的 PR 合并引用并运行构建。工作流作者试图进行信任分割但忽略了两个事实actions/cachev5 的作业后保存不受 permissions 限制。缓存写入使用运行器内部令牌而非工作流的 GITHUB_TOKEN。设置 permissions: contents: read 并不能阻止缓存修改。缓存作用域是按仓库划分的pull_request_target 运行使用主仓库的缓存作用域和推送到主分支共享缓存。在主仓库缓存作用域中运行的 PR 可以投毒主分支生产工作流后续会恢复的缓存条目。2. 跨越信任边界的 GitHub Actions 缓存投毒恶意的 vite_setup.mjs 专门设计为将数据写入 pnpm - store 目录键值与合法的 release.yml 工作流计算和查找的键匹配。当 benchmark - pr 作业结束时actions/cachev5 的后置步骤将已投毒的 pnpm 存储保存到该确切键。当 release.yml 下次在推送到主分支时运行其“设置工具”步骤恢复了投毒的条目这完全符合设计。这是 Adnan Khan 在 2024 年记录的一类攻击并非 TanStack 特有的漏洞而是已知的 GitHub Actions 设计问题需要有意识地进行缓解。3. 从运行器内存中提取 OIDC 令牌release.yml 声明了 id - token: write这是 npm OIDC 可信发布所必需的。当投毒的 pnpm 存储在运行器上恢复时攻击者控制的二进制文件现在位于磁盘上并在构建步骤中被调用。这些二进制文件会通过 /proc/*/cmdline 定位 GitHub Actions Runner.Worker 进程。读取 /proc//maps 和 /proc//mem 以转储工作进程的内存。提取 OIDC 令牌当设置 id - token: write 时运行器会在内存中懒生成该令牌。使用该令牌直接向 registry.npmjs.org 进行身份验证的 POST 请求完全绕过了工作流的“发布包”步骤。这与 2025 年 3 月 tj - actions/changed - files 被入侵事件中使用的内存提取技术相同使用了相同的 Python 脚本并带有归因注释。攻击者并未发明新的攻击手段而是重新组合了已发布的研究成果。单独的 pull_request_target 对于可信操作如标记、评论是安全的单独的缓存投毒例如来自已被攻破的依赖项内部需要单独的发布途径单独的 OIDC 令牌提取需要在运行器上已有代码执行权限。这些漏洞之所以能串联起来是因为每个漏洞都跨越了其他漏洞所假设的信任边界PR 分叉代码进入主仓库缓存主仓库缓存进入发布工作流运行时发布工作流运行时进入 npm 注册表写入权限。检测发现过程此次检测来自外部。carlini 在发布后约 20 分钟开启了问题 #7383并提供了完整的技术分析。Tanner 在启动应急响应室后不久就接到了 Socket.dev 的电话确认了情况。IOC 指纹供下游维护者和安全工具使用在任何 tanstack/* 包的清单中optionalDependencies: { tanstack/setup: github:tanstack/router#79ac49eedf774dd4b0cfa308722bc463cfe5885c}文件router_init.js约 2.3 MB位于包根目录不在 files 中。缓存键Linux - pnpm - store - 6f9233a50def742c09fde54f56553d6b449a535adf87d4083690539f49ae4da11。二级有效负载 URLhttps://litter.catbox.moe/h8nc9u.js、https://litter.catbox.moe/7rrc6l.mjs。数据外泄网络filev2.getsession.org、seed{1,2,3}.getsession.org。伪造的提交身份claude 注意不是真正的 Anthropic Claude是伪造的 GitHub 无回复邮箱。真实的攻击者账户zblggID 127806521、voicproducoesID 269549300。攻击者分叉[github.com/zblgg/configuration](https://github.com/zblgg/configuration)TanStack/router 的分叉重命名以规避分叉搜索。孤立的有效负载提交在分叉网络中79ac49eedf774dd4b0cfa308722bc463cfe5885c。执行恶意发布的工作流运行[github.com/TanStack/router/actions/runs/25613093674](https://github.com/TanStack/router/actions/runs/25613093674)尝试 4[github.com/TanStack/router/actions/runs/25691781302](https://github.com/TanStack/router/actions/runs/25691781302)经验教训做得好的方面外部研究人员在事件发生后约 20 分钟内就注意到并报告了该事件且提供了完整的技术细节。维护者团队在多个时区迅速有效地进行了协调。检测社区在数小时内就明确了公开的 IOC 模式。可以改进的方面缺乏内部警报机制。我们是从第三方得知此次入侵事件的。我们需要对自己的发布进行监控。我们将与生态系统中的安全研究公司密切合作这些公司有能力快速检测此类问题甚至可能在内部建立检测机制并使反馈循环更加紧密。尽管 pull_request_target 工作流是已知的危险模式但未进行审计。第三方操作使用浮动引用如 v6.0.2、main独立于此次事件也会带来供应链风险。由于 npm 的“如果有依赖项则不可取消发布”政策几乎所有受影响的包都无法取消发布。我们不得不依靠 npm 安全团队从服务器端移除 tarball这增加了数小时的延迟在此期间恶意 tarball 仍可被安装。npm 作用域上的 7 名维护者意味着同一影响范围内有 7 个单独的凭证盗窃目标。OIDC 可信发布者绑定没有每次发布的审核机制。一旦配置完成工作流中的任何代码路径都可以生成具有发布能力的令牌。我们要么a改用需要手动审核的短期经典令牌要么b添加来源验证以检测来自意外工作流步骤的发布。幸运之处攻击者选择的有效负载导致测试失败使得发布步骤原本会生成更干净的 tarball被跳过这意味着攻击足够明显能够快速被检测到。一个更谨慎的攻击者如果不破坏测试可能会在数小时内悄悄发布。攻击者重用了公开的攻击技术带有归因注释的逐字内存转储脚本而不是编写新代码这使得 IOC 匹配更快。待解决的问题在完成此次事后分析之前需要回答以下问题bundle - size.yml 的“设置工具”步骤是否真的调用了 actions/cachev5通过读取针对 PR #7378 的 pull_request_target 运行之一的作业后日志进行验证例如运行 ID 25666610798。Tanner 有权限需要手动完成。初始 PR 头部提交在强制推送清除之前包含什么内容GitHub 的 reflog 可能有记录。通过 gh api 或 GitHub 支持团队进行检查。恶意提交是如何具体进入分叉的 git 对象存储的是通过 git 直接推送还是通过 GitHub 网页 UI 创建这会留下审计日志条目voicproducoes 是真实账户还是傀儡账户交叉参考其活动历史。npm 缓存是否也被投毒6 个重复的 linux - npm - store - * 条目是否有实际使用此次攻击是否需要 Nx Cloud仅使用 GitHub Actions 缓存是否也能成功能否在 TanStack/router 分叉网络中识别出包含孤立有效负载提交的其他分叉如果有清理工作将更困难因为每个托管该提交的分叉都可以通过 github:tanstack/router#79ac49ee... 访问它其他 TanStack 仓库router、query、table、form、virtual 等是否使用了相同的 bundle - size.yml 模式需要进行审计。在发布期间实际有多少用户下载了受影响的版本从 npm 支持团队获取相关信息。列出的 7 名维护者的机器是否有单独被攻破的情况没有恶意发布使用维护者的 npm 令牌但维护者的机器可能是通过自我传播逻辑成为次要目标