https://github.com/TanStack/router/issues/7383
涉及多个包和多个最近版本。注入脚本会扫描并窃取开发者电脑上的各类凭证,包括 AWS/GCP 密钥、Kubernetes token 、Vault token 、GitHub token 、SSH 密钥以及 ~/.npmrc 文件。
评论里有人提到撤销被盗 Token 还会导致病毒报复性删除用户目录:
撤销令牌时请务必小心。看起来该有效载荷在 ~/.local/bin/gh-token-monitor.sh 处安装了一个“死人开关”,并将其作为 systemd 用户服务 (Linux) / LaunchAgent com.user.gh-token-monitor (macOS) 运行。它每 60 秒使用被盗令牌轮询 api.github.com/user ,如果令牌被撤销 (HTTP 40x),它就会执行 rm -rf ~/。(看起来它可能还有一堆持久化机制。我还没仔细研究这些。)
看来是挺严重的。
 |
1
WispZhan 10h 42m ago via Android
卧槽(表达惊讶)
|
 |
2
daysv 10h 32m ago
TanStack 居然被投毒? 有理由怀疑现在开源社区已经被黑产大范围盯上了,甚至很多作者被收买了。
|
 |
3
Danswerme 10h 28m ago  1
害怕,这样下去以后只能在 docker 中进行应用开发了。
|
 |
4
Bronya 10h 19m ago
怎么哪哪都是毒(害怕)
|
 |
5
evansun 9h 40m ago
可怕,我刚开始做的个人博客项目用的这个玩意
|
 |
6
lizy0329 7h 24m ago
https://cdn.prod.website-files.com/673b71f0790aabf30bd30bf8/6a0249ed345a95098929b98f_mermaid-diagram-2026-05-11-142800.png
就是说可以通过篡改 fork 出来的仓库代码,利用官方的 CICD 流进行攻击,而且能绕过正常发布流程,发布到 npm 上 |
Select Language