Son tedarik zinciri saldırılarına yanıt olarak TanStack, iç güvenlik önlemlerini güçlendirdi. JavaScript/TypeScript kitaplıklarının tedarikçisi de ek güvenlik önlemlerini değerlendiriyor. Bu, gelecekte yalnızca davet edilen çekme isteklerine izin verilmesini içerebilir.
Duyurudan sonra devamını okuyun
Nisan sonundan bu yana devam eden Mini Shai Hulud saldırıları dalgasının bir parçası olarak siber suçlular TanStack'ı da hedef aldı. Bunu yaparken, kimlik hırsızları tarafından kirlenmiş çok sayıda bilgiyi de sisteme dahil ediyorlar. @tanstack/*npm JavaScript paket yöneticisindeki paketler.
(Resim: jaboy / 123rf.com)
JavaScript dünyasındaki araçlar ve trendler: enterJS 2026, 16 ve 17 Haziran'da Mannheim'da gerçekleşecek. Program, JavaScript ve TypeScript, çerçeveler, araçlar ve kitaplıklar, güvenlik, UX ve daha fazlası etrafında döner. Biletler online bilet ofisinde mevcuttur.
TanStack'ta siber suçlular, saldırı vektörü olarak manipüle edilmiş bir çekme isteği (PR) kullanır. Halkla ilişkiler bitti pull_request_target otomatik olarak yürütülür ve GitHub eylem önbelleğine bulaşabilir. Dalga artık Ant Group'un AntV ekosistemine yayıldı.
Karşı önlemler
TanStack blogunda, özellikle GitHub'un güvenlik açıklarının yıllardır farkında olması nedeniyle çok dikkatsiz davrandığını yazıyor pull_request_target uyarıyor. TanStack artık GitHub Actions olay tetikleyicisini CI'dan kaldırdı ve yerine GitHub tarafından önerilen tetikleyiciyi koydu workflow_run değiştirildi. Ek olarak, tüm pnpm ve GitHub eylem önbellekleri artık devre dışı bırakıldı, tüm eylemler SHA'nın kesin olarak gerçekleştirilmesine kilitlendi ve npm ve GitHub'da SMS tabanlı 2FA devre dışı bırakıldı.
Ek bir güvenlik önlemi olarak TanStack, statik analiz aracı zizmor'u tüm depolar için zorunlu bir PR kontrolü olarak sunmak ve .github klasörleri için bir CODEOWNERS dosyası kullanmak, böylece iş akışlarındaki değişikliklerin yalnızca çekirdek bakımcılar tarafından yapılabilmesini istiyor. Ayrıca bu özellik artık pnpm yapılandırma önbelleğinin yerini alıyor actions/cache/restoreçok daha muhafazakar standart davranışı sayesinde saldırıları zorlaştırmayı amaçlamaktadır.
Çözüm olarak izolasyon mu?
Duyurudan sonra devamını okuyun
TanStack'ta tartışılan başka bir önlem konusunda daha az anlaşma var. Sorun, dış katkıda bulunanların artık TanStack depolarına karşı çekme istekleri açmasına izin verilip verilmemesidir. Kullanıcıdan taahhüt edene, oradan da bakımcıya giden klasik yol genellikle bir PR'nin açılması ve revizyonu ile başladığından caydırıcı bir etki korkusu vardır. TanStack'ın da itiraf ettiği gibi bu önlem, IC'de kötü niyetli bir PR'nin yürütüldüğü tedarik zinciri saldırısına karşı yine de yardımcı olmazdı.
(mro)
Bir yanıt yazın