
こういう要約が、毎朝あなたのメールに届きます。
無料で登録 →2026年5月11日の19:20~19:26 UTC に、攻撃者が pull_request_target パターン、GitHub Actions キャッシュ汚染、OIDC トークンのランタイム抽出を組み合わせて、42個の @tanstack/* npm パッケージにわたって84個の悪意あるバージョンを公開。外部の研究者(StepSecurity 所属の ashishkurmi)により20分以内に検出され、全影響バージョンが deprecated(非推奨)に。
マルウェアは Bun ランタイムをダウンロードしてペイロードを実行し、環境変数、.npmrc、.git-credentials、ブラウザセッション、クラウド CLI 設定、Linux では /proc/<pid>/mem 経由で GitHub Actions ランナープロセスのメモリから OIDC トークンを盗む。盗まれた秘密鍵は AES-256-GCM と RSA-OAEP-SHA-256 で暗号化され、被害者の GitHub アカウント下に公開リポジトリとして発行。
インストール中のマシンは永続化されない——Claude Code SessionStart フック、VS Code tasks.json、悪意あるCodeQL分析GitHub Actionsワークフロー(api.masscan.cloud/v2/upload に秘密情報を送信)、launchd / systemd-user ユニット(トークン無効化時に rm -rf ~/ を実行)を設置。感染したホストは GitHub コミット検索で「IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner」フレーズを探索し、盗まれた GitHub トークンを P2P リレー経由で交換。
TanStack の npm トークン自体は盗まれなかったが、2026年5月11日の約26分間のウィンドウで影響バージョンをインストールしたホストに対して、AWS、GCP、Kubernetes、Vault、GitHub、npm、SSH 認証情報の回転が強く推奨される。
この記事のディスカッションはまだありません
200以上のソースから厳選したAIニュースを毎日無料でお届けします。
無料で始める登録無料・30秒で完了・いつでも解除できます
毎朝1分、AIの要点だけ。
200媒体以上・Email/LINE/Slack 対応