Skip to content

TanStacki rünne: kahjurvara levitati manipuleeritud npm-pakettide kaudu

Lühidalt: Ründajad kasutasid OIDC-tunnusluba, et levitada npm-is võltsitud TanStacki pakette ning varastada nii pilveteenuste ligipääsuandmeid kui ka autentimistõendeid.

Ründajad said varastatud OIDC-tunnusloa abil juurdepääsu npm-registrile ja laadisid üles manipuleeritud TanStacki paketid. Manustatud kahjurvara eesmärk on välja lugeda pilveteenuste ligipääsuandmeid, GitHubi ja npm-i tunnusluba ning SSH-võtmeid.

TanStacki ründes kasutasid ründajad ära tarneahela turvalisuse nõrkust: kompromiteeritud või kuritarvitatud OIDC-tunnusluba võimaldas neil esineda seadusliku paketi avaldajana. Nii jõudsid manipuleeritud TanStacki paketiversioonid npm-repositooriumisse, mis on üks olulisemaid JavaScripti ja Node.js arenduse paketiarhiive.

Kahjurvara käivitub automaatselt paketi installimisel ja kogub süstemaatiliselt autentimisandmeid. Ohus on pilveteenuste ligipääsuvõtmed, GitHubi ja npm-i repositooriumide tunnusload ning privaatsed SSH-võtmed – ligipääsuandmed, mis võimaldavad juurdepääsu kriitilisele infrastruktuurile ja arendusvaradele.

Rünnakute seeria nimega „Mini-Shai-Hulud” on pärast esialgset TanStacki rünnet laienenud ka teistele sihtmärkidele. Dokumenteeritud on juhtumid Microsoftis, Red Hatis ja arvukates teistes organisatsioonides. Muster viitab sihipärasele strateegiale kasutada usaldusväärseid arendajate tööahelaid laiema kompromiteerimise sisenemispunktina.

CISO-de jaoks on see rünne kriitiline hoiatus avatud lähtekoodiga ökosüsteemide tarneahelariskide kohta. Varastatud tunnuslubade kaudu build- ja juurutusprotsesside üle kontrolli saavutamine võib viia juurdepääsuni tootmiskeskkondadele. Organisatsioonid peaksid üle vaatama oma OIDC-tunnuslubade halduse, kontrollima pakettide terviklust ning rangelt piirama juurdepääsu build-tööahelates hoitavatele saladustele.


Allikas: www.security-insider.de · Avaldatud 2. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimise ja klassifitseerimise teostas Lumi News Pipeline v1.7.3.

Share on: