За моніторингом Beating, 12 травня з 3:20 до 3:26 (UTC+8) нападники, пов’язані з TeamPCP, викрали офіційні пайплайни релізу TanStack, Amazon’s OpenSearch і Mistral, поширивши 84 шкідливі версії пакетів через npm та PyPI. Пакети, на які вплинули, включають @tanstack/react-router (понад 10 млн щотижневих завантажень), @opensearch-project/opensearch (1,3 млн щотижневих завантажень) і клієнт mistralai від Mistral. Зловмисні пакети обходили механізми довіри безпеки, використовуючи вади конфігурації GitHub Actions, щоб отримати легітимні тимчасові облікові дані для публікації, що дозволило їм отримати дійсні підписи SLSA build provenance.

Реверсний аналіз Socket.dev показує, що черв’як зберігається навіть після видалення пакета, через ін’єкцію коду в хуки виконання Claude Code (.claude/settings.json) та конфігурації задач VS Code (.vscode/tasks.json). На Python-пакетах шкідливе ПЗ активується тихо під час імпорту без потреби викликів функцій. Уражені машини слід вважати скомпрометованими; користувачам потрібно негайно змінити (ротувати) облікові дані AWS, GitHub, npm і SSH та перевстановити з чистих lockfile.

Переглянути джерело

Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до Застереження.