WeLinux

TanStack 创始人 Tanner Linsley 5 月 11 日发布官方事故复盘，披露当日 19:20~19:26 UTC 期间，攻击者通过三个漏洞的链式利用向 npm 发布了涵盖 42 个 @tanstack/* 包共 84 个恶意版本。攻击链分三步：第一步利用 pull_request_target 触发器的"Pwn Request"模式，在基础仓库权限上下文中执行了 fork PR 中的恶意代码；第二步通过 GitHub Actions 缓存投毒（Cache Poisoning），将含恶意载荷的 pnpm 存储写入生产发布流程将读取的缓存槽位；第三步在发布工作流运行时，从 GitHub Actions runner 进程内存中提取 OIDC 令牌，绕过正常发布步骤直接调用 npm 注册表 API——全程未窃取任何 npm 访问令牌。恶意版本在安装时会执行约 2.3 MB 的混淆脚本，抓取 AWS IMDS/Secrets Manager、GCP 元数据、Kubernetes service-account token、Vault token、~/.npmrc、GitHub token 及 SSH 私钥，并经 Session/Oxen 端对端加密网络回传；脚本还会通过 npm registry API 枚举受害者维护的其他包并植入同样注入代码，实现自我扩散。 恶意版本在发布约 20 分钟后由外部安全研究员发现并公开披露，Socket.dev 随后主动联系 TanStack 团队确认情况；维护团队随即对全部 84 个版本标记废弃，并请 npm 安全团队从服务器端下架 tarball。受影响范围不含 @tanstack/query*、@tanstack/table*、@tanstack/form*、@tanstack/virtual*、@tanstack/store 及 @tanstack/start 元包。复盘指出，此次所用的 OIDC 令牌内存提取脚本与 2025 年 3 月 tj-actions/changed-files 供应链攻击中使用的工具几乎一字不差（含原归因注释），说明攻击者在重新组合已公开的攻击手法而非开发全新工具。TanStack 要求所有在 5 月 11 日安装了受影响版本的开发者或 CI 环境将该主机视为潜在已失陷，并立即轮换 AWS、GCP、Kubernetes、Vault、GitHub、npm 及 SSH 全部凭据。 TanStack Blog https://tanstack.com/blog/npm-supply-chain-compromise-postmortem

安全研究机构 HiddenLayer 披露，一个名为"Open-OSS/privacy-filter"的恶意 Hugging Face 仓库完整复制了 OpenAI 于 2026 年 4 月发布的隐私过滤模型（Privacy Filter）的介绍文本，以此冒充官方仓库诱骗开发者下载。在被平台下架前，该仓库在约 18 小时内攀升至 Hugging Face 趋势榜第一位，下载量约 24.4 万次、获得 667 个点赞——研究人员认为上述数字系人为刷高，以制造可信度假象。OpenAI Privacy Filter 本是一款用于检测和脱敏非结构化文本中个人身份信息（PII）的开权重模型。 攻击链分为多个阶段：用户克隆仓库后运行批处理脚本（Windows）或 Python 脚本，后者通过 JSON Keeper 公共粘贴服务作为"死投"中转解析器获取 PowerShell 指令，从远程服务器拉取多阶段下载器，最终部署一款基于 Rust 的信息窃取木马——可截图并抓取 Discord 账户、加密货币钱包及浏览器插件、系统元数据、FileZilla 配置、助记词等，经由 JSON 格式回传攻击者服务器，且全程不建立持久化驻留。HiddenLayer 另发现 6 个同类恶意仓库（均位于"anthfu"账号下），其基础设施与此前被归因于中国黑客组织"Silver Fox"的远控木马 ValleyRAT（Winos 4.0）存在关联，研究人员认为此次事件或属针对开源生态的更大规模供应链攻击。 The Hacker News | HiddenLayer https://thehackernews.com/2026/05/fake-openai-privacy-filter-repo-hits-1.html

热门下载管理器 JDownloader 官方网站于 5 月 6 日遭攻击者入侵，被替换为含恶意代码的 Windows 与 Linux 安装包，持续时间超过一天方被发现。事件曝光源于 Reddit 一名用户发帖指出，新下载的 JDownloader 安装包被 Windows SmartScreen 标记为可疑，且数字签名发行商显示为陌生的"Zipline LLC"而非官方的"AppWork"。该帖迅速引发关注，项目开发者介入确认遭攻破。JDownloader 团队调查指出，攻击者利用网站一个未修复的安全漏洞，在未经认证的情况下修改了访问控制列表（ACL），随后将替代下载页面上的官方链接替换为恶意文件。已感染用户反映，恶意程序可彻底关闭 Windows Defender，后续危害严重。 此案并非孤立事件——今年以来官方软件网站供应链攻击持续高发：1 月 eScan、2 月 Notepad++（替换安装包）、4 月 CPUID（CPU-Z / HWMonitor 官网被植入含恶意 DLL 的安装包，感染后窃取浏览器凭据）、5 月初 DAEMON Tools（官方安装包被植入后门，4 月 8 日至 5 月 5 日间数千次恶意载荷部署被卡巴斯基检测到）。卡巴斯基研究员评论称："我们在 2026 年头四个月已相继调查 eScan、Notepad++、CPU-Z 和 DAEMON Tools——供应链攻击的频率令人担忧。"使用上述软件的用户应立即核查安装来源并重新下载官方最新版本。 Neowin | The Hacker News

Socket 安全研究团队 4 月 30 日披露，PyPI 每日下载量逾数十万次的深度学习框架 lightning 在 2.6.2 与 2.6.3 两个版本中被植入恶意代码——Socket AI 扫描器在两版本发布后 18 分钟内即告警。上一个干净版本为 1 月 30 日发布的 2.6.1。恶意包在隐藏的 _runtime 目录中内置一个下载器与 11MB 混淆 JavaScript 载荷（router_runtime.js），仅凭 import lightning 即自动在后台线程执行，无需任何额外用户操作。攻击链共三段：第一段扫描并窃取进程内存与环境变量中的 GitHub OAuth 令牌、npm 令牌、AWS/Azure/GCP 云凭据，并主动探测 AWS 实例元数据服务端点；第二段用盗取的 GitHub 令牌通过 GraphQL API 向受害者所有可写仓库的每一条分支静默提交后门文件，包括 .claude/router_runtime.js（自我复制）、篡改的 .claude/settings.json 与 VS Code 任务配置，且每条提交均伪装成 claude [email protected] 以冒充 Claude Code 的合法操作；第三段将本地 npm 包的 .tgz 文件解包、注入 postinstall 钩子后重新打包并递增补丁版本号，确保开发者下次发布时将蠕虫传播给所有下游用户。 事件处置过程中暴露了更严重的问题：Lightning-AI 的 GitHub 账号 pl-ghost 被认定已沦陷——Socket 在官方仓库提交披露 Issue 后，该账号一分钟内关闭 Issue 并回复”SILENCE DEVELOPER”梗图；同一时段内 pl-ghost 在 Lightning-AI/litAI、utilities、torchmetrics 等仓库批量创建并秒删测试分支（命名模式与已知蠕虫 Shai-Hulud 一致），疑为探测侧向移动路径，最终因仓库保护规则而失败。攻击者同时在 Issue 线程中留下 Tor 洋葱链接，对应一个自称 Team PCP 的勒索/数据窃取组织公告，宣称与 LAPSUS$ 存在合作关系——Socket 尚未独立核实上述关联的真实性。受影响开发者应立即降级至 2.6.1、将安装过 2.6.2 或 2.6.3 的环境视为已沦陷并轮换全部凭据、审计 GitHub 仓库中来自 [email protected] 的提交以及本地 .tgz 文件的 postinstall 字段。 Socket | PyPI - lightning | Socket 供应链攻击追踪页 https://socket.dev/blog/lightning-pypi-package-compromised

Bitwarden CLI遭供应链攻击，逾千万用户面临凭据泄露风险 安全研究机构Socket披露，Bitwarden CLI 2026.4.0版本遭到入侵，攻击者利用Bitwarden CI/CD流水线中的一个GitHub Action漏洞植入恶意代码，此次事件是持续进行中的Checkmarx供应链攻击活动的一部分。Bitwarden拥有逾1000万用户及5万余家企业客户，是全球排名前三的密码管理工具之一。  恶意载荷隐藏于bw1.js文件中，可窃取GitHub Token、AWS/Azure/GCP云凭据、npm配置、SSH密钥及Claude/MCP配置文件等敏感信息，并通过加密提交的方式将数据外泄至攻击者控制的公开GitHub仓库。此次攻击还具备Shell持久化能力，会向~/.bashrc和~/.zshrc注入恶意代码。值得注意的是，恶意程序内置俄语区域设置检测，若系统语言为俄语则静默退出。目前仅npm版本的CLI受到影响，Chrome扩展及其他官方发行版尚未波及。  Socket建议受影响用户立即卸载该版本、轮换所有相关凭据，并排查GitHub是否存在异常仓库创建或工作流注入。 Socket https://socket.dev/blog/bitwarden-cli-compromised