Perficiendo processum emissionis GitHub Actions incepti TanStack, aggressores potuerunt 84 versiones noxias 42 fasciculorum NPM ex acervo TanStack in repositorium NPM edere. Nonnulla fasciculorum violatorum plus quam decem miliones vicibus per hebdomadam deprompta sunt.
Aditus ad publicationem emissionis obtentus est propter incorrectam optionem pull_request_target "Pwn Request" in GitHub Actions (specificatio personae in optionibus ad emissionem pull_request_target pro petitionibus extractionis ad furcas tertiarum partium duxit), venenationem celae GitHub Actions per furcam, et facultatem extrahendi tesseram OIDC e memoria processus cursoris currentis (Runner.Worker) legendo contenta /proc/. /mem.
Fasciculi NPM cum modificationibus malignis die XI mensis Maii inter horam X et XX post meridiem et X et XXVI post meridiem (MSK) divulgati sunt, XX minutis post detecti, et hora et dimidia post obstructi. Duae versiones malignae cuiusque fasciculi NPM affecti divulgatae sunt, quarum unaquaeque codicem continebat ad vermiculum mini-shai-hulud activandum, qui tesseras et testimonia in ambitu praesenti quaerit. Si tessera connexionis ad directorium NPM detecta est, vermis novas versiones malignas pro fasciculis in ambitu praesenti explicandis sponte divulgabat, arborem dependentiarum afficiens. Plus quam quadringenti fasciculi NPM qui fasciculos TanStack ut dependentias utebantur hoc modo affecti sunt.
Vermis in fasciculo `router_init.js` installatus et activatus est cum fasciculus affectus a programmatore manu vel sponte in ambitu integrationis continuae utens mandatis "npm install," "pnpm install," vel "yarn install" installatus est. Post activationem, vermis systema quaesivit pro indiciis pro NPM (~/.npmrc), AWS, GCP, Azure, HashiCorp, et KubernetesK8s, necnon claves privatas SSH. Data quae invenit ad aggressores per nuntium P2P decentralizatum getsession.org missa sunt.
Vermis designatus erat ad actiones destructivas peragendas si tessera NPM revocata et intercepta esset. Systema ita configuratum erat ut scriptum ~/.local/bin/gh-token-monitor.sh periodicē exsequeretur, quod activitatem tesserae singulis sexaginta secundis per api.github.com/user inspiciebat et, si tessera revocata esset, mandatum "rm -rf ~/" exsequebatur.
Source: opennet.ru
