Mini Shai-Hulud: kompromitovani paketi TanStack

Kolege, pažnja: u oblasti sajber bezbednosti otkrivena je kampanja Mini Shai‑Hulud koja je kompromitovala npm/PyPI pakete (TanStack, Mistral, Guardrails).
Ukratko:
- U pakete je ubačen obfuskovani stealer koji krade kredencijale; podaci odlaze preko Session Protocol u repozitorije napadača.
- Ostaje u Claude/VS Code, nadgleda GitHub tokene i ubacuje maliciozne GitHub Actions.
- TanStack povezuje napad sa lancem GitHub Actions (hijacked OIDC, pull_request_target, cache poisoning); CVE‑2026‑45321 (CVSS 9.6).
Važno: objavljuju se validno atestirane maliciozne verzije — kritičan rizik za lanac snabdevanja.
Preporučujem da Vi opozovete Vaše OIDC/publish tokene, proverite workflow‑e i keševe, i skenirate zavisnosti.
Koje mere Vi već primenjujete za zaštitu CI/CD?
#sajberbezbednost #lanacsnabdevanja #DevSecOps #GitHubActions


Poslednji komentari
Još nema komentara.