TanStack

Bei dieser Schwachstelle handelt es sich um einen Angriff auf die Software-Lieferkette der TanStack-Pakete. Angreifer schleusten manipulierte Paketversionen in das öffentliche npm-Registry ein und gaben sie unter der vertrauenswürdigen Identität des Projekts aus. Möglich wurde das durch eine Verkettung mehrerer bekannter Schwachstellenklassen im automatisierten Veröffentlichungsprozess über GitHub Actions: eine Fehlkonfiguration, bei der Code aus einem fremden Fork mit erhöhten Rechten ausgeführt werden konnte, das Vergiften des Build-Caches über die Vertrauensgrenze zwischen Fork und Hauptprojekt hinweg sowie das Auslesen des Veröffentlichungs-Tokens direkt aus dem Arbeitsspeicher des Build-Servers. Damit konnten die Angreifer Schadsoftware verbreiten, die Zugangsdaten stiehlt – getarnt als legitime Aktualisierung. Betroffen sind Entwickler und Anwendungen, die die manipulierten Pakete aus dem Registry bezogen haben, ohne dass der eigentliche Veröffentlichungs-Workflow selbst verändert wurde.