このイカレた時代へようこそ
pull_request_targetとキャッシュ汚染のコンボは怖すぎる。OIDCトークンまで抜かれるとか対策の難易度高すぎだろ
2026-05-11、@tanstack/*でpull_request_target+cache毒+OIDC奪取により84件の悪性版が42パッケージに公開された経緯を解説する事後報告。
TanStack に対する npm サプライチェーン攻撃に関するポストモーテム。脆弱性を三つ組み合わせて信頼境界を越えている。GHA のキャッシュポイズニングやメモリ抽出技法を連鎖させて最終的に OIDC トークンを取得している。
ポストモーテム出すのはや
2026年5月11日に発生したTanStackのnpmパッケージに対するサプライチェーン攻撃のポストモーテム。 `pull_request_target`ワークフローの設定不備、GitHub Actionsのキャッシュポイズニングを組み合わせた攻撃手法について。 フォーク
Postmortem: TanStack npm supply-chain compromise | TanStack Blog
このイカレた時代へようこそ
pull_request_targetとキャッシュ汚染のコンボは怖すぎる。OIDCトークンまで抜かれるとか対策の難易度高すぎだろ
2026-05-11、@tanstack/*でpull_request_target+cache毒+OIDC奪取により84件の悪性版が42パッケージに公開された経緯を解説する事後報告。
TanStack に対する npm サプライチェーン攻撃に関するポストモーテム。脆弱性を三つ組み合わせて信頼境界を越えている。GHA のキャッシュポイズニングやメモリ抽出技法を連鎖させて最終的に OIDC トークンを取得している。
ポストモーテム出すのはや
2026年5月11日に発生したTanStackのnpmパッケージに対するサプライチェーン攻撃のポストモーテム。 `pull_request_target`ワークフローの設定不備、GitHub Actionsのキャッシュポイズニングを組み合わせた攻撃手法について。 フォーク