2026년 5월 11일 약 19:20에서 19:26 UTC 사이에 42개의 @tanstack/* 패키지에 걸쳐 84개의 악성 버전이 npm 레지스트리에 게시되었습니다. 게시는 TanStack/라우터에 대한 합법적인 GitHub Actions OIDC 신뢰할 수 있는 게시자 바인딩을 통해 인증되었지만 게시 워크플로 자체는 수정되지 않았습니다. 공격자는 세 가지 알려진 취약점 클래스를 연결했습니다. 즉, pull_request_target "Pwn 요청" 잘못된 구성, 포크 ← 기본 신뢰 경계를 가로지르는 GitHub Actions 캐시 중독, r
2026년 5월 11일 약 19:20에서 19:26 UTC 사이에 42개의 @tanstack/* 패키지에 걸쳐 84개의 악성 버전이 npm 레지스트리에 게시되었습니다. 게시는 TanStack/라우터에 대한 합법적인 GitHub Actions OIDC 신뢰할 수 있는 게시자 바인딩을 통해 인증되었지만 게시 워크플로 자체는 수정되지 않았습니다. 공격자는 세 가지 알려진 취약성 클래스(pull_request_target "Pwn 요청" 잘못된 구성, 포크-베이스 신뢰 경계에 걸친 GitHub Actions 캐시 중독, Actions 러너 프로세스에서 OIDC 토큰의 런타임 메모리 추출)를 연결하여 신뢰할 수 있는 ID로 자격 증명 도용 악성 코드를 게시했습니다. 영향을 받은 각 패키지는 몇 분 간격으로 게시된 정확히 두 개의 악성 버전을 받았습니다.
| 소스 | CVSS 버전 | 기본 점수 | 심각도 | 벡터 문자열 | 평가일 |
|---|---|---|---|---|---|
| NVDNIST | 3.1 | 9.6 | CRITICAL | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H | 2026. 05. 13. |
| OSV3rd | 3.1 | 9.6 | CRITICAL |
| CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
| 2026. 05. 13. |