答案已發布19 來源
Mini Shai‑Hulud 供應鏈攻擊事件全解析
2026 年 5 月 Mini Shai‑Hulud 供應鏈蠕蟲劫持 GitHub Actions 發佈流程,在 42 個 TanStack npm 套件發佈 84 個惡意版本,之後擴散到 170+ 個 npm 與 PyPI 套件。 惡意套件會在安裝時透過 npm lifecycle hook 執行程式,偷取 GitHub token、雲端金鑰與 CI/CD 憑證等開發者機密。
1.8M0
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: What happened in the Mini Shai-Hulud supply chain attack involving TanStack and OpenAI, how were two OpenAI employee devices compromised, wh. Article summary: The Mini Shai-Hulud incident was a self-spreading supply-chain attack that compromised TanStack npm packages and reportedly involved two OpenAI employee devices, leading OpenAI to rotate affected macOS app signing certif. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# OpenAI says no user data stolen after supply-chain hackers accessed employee devices. ## OpenAI said it found no evidence that user data was accessed after a supply-chain attack" source context "OpenAI says no user data stolen after supply-chain hackers ... - Mint" Reference image 2: visual subject "Infosecurit
2026 年 5 月爆發嘅 Mini Shai‑Hulud 供應鏈攻擊,被安全研究人員形容為近年最嚴重嘅開源開發者生態入侵之一。攻擊首先鎖定 TanStack 相關 npm 套件,之後迅速擴散到多個開源項目同兩個主要套件庫——npm 同 PyPI。調查期間,OpenAI 確認 有兩部員工裝置受到影響,但表示 未發現客戶資料被存取。
事件再次凸顯一個重要現實:現代軟件攻擊越來越少直接入侵生產系統,而係先攻擊 開發流程同依賴鏈(software supply chain)。
Mini Shai‑Hulud 是甚麼
Mini Shai‑Hulud 被認為由黑客組織 TeamPCP 發動,屬於一種 會自我擴散嘅供應鏈蠕蟲(worm)。與傳統偷取開發者帳號密碼嘅方法不同,攻擊者改為直接入侵 自動化發佈流程。
喺 2026 年 5 月 11–12 日 最大規模嘅一波攻擊入面,攻擊者成功:
- 劫持 GitHub Actions 發佈工作流程
- 利用被盜用嘅 OIDC 身份生成有效發佈 token
- 透過官方 pipeline 將惡意版本直接發佈到套件庫
由於套件係經「官方 CI/CD pipeline」發佈,佢哋看起來完全正常,甚至帶有 有效嘅 build provenance attestation(構建來源證明),令自動安全掃描更難發現問題。
TanStack 套件被入侵
最受影響嘅目標之一係 TanStack 生態系統——一組被大量 Web 應用使用嘅 JavaScript 函式庫。
攻擊發生時,黑客喺幾分鐘內透過官方發佈流程發佈咗:
- 42 個
@tanstack/*npm 套件
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人們還問
「Mini Shai‑Hulud 供應鏈攻擊事件全解析」的簡短答案是什麼?
2026 年 5 月 Mini Shai‑Hulud 供應鏈蠕蟲劫持 GitHub Actions 發佈流程,在 42 個 TanStack npm 套件發佈 84 個惡意版本,之後擴散到 170+ 個 npm 與 PyPI 套件。
首先要驗證的關鍵點是什麼?
2026 年 5 月 Mini Shai‑Hulud 供應鏈蠕蟲劫持 GitHub Actions 發佈流程,在 42 個 TanStack npm 套件發佈 84 個惡意版本,之後擴散到 170+ 個 npm 與 PyPI 套件。 惡意套件會在安裝時透過 npm lifecycle hook 執行程式,偷取 GitHub token、雲端金鑰與 CI/CD 憑證等開發者機密。
接下來在實務上我該做什麼?
OpenAI 確認兩部員工裝置曾安裝受污染套件並出現未授權存取,但未發現客戶資料被讀取;公司亦更新 macOS app 的簽名憑證。
來源
- opensourceforu.comMalicious Open Source npm Packages Breach OpenAI ...
- stepsecurity.ioA Self-Spreading Supply Chain Attack Compromises TanStack npm ...
- expel.comMini Shai Hulud: Cross-ecosystem supply chain worm targeting npm ...
- turingpoint.deHardening npm Supply Chains: Lessons from Mini Shai- ...
- snyk.ioTanStack npm Packages Hit by Mini Shai-Hulud
Loading comments...
Comments
0 comments