TanStack供應鏈攻擊擴散鏈GitHub三千八百個儲存庫外洩

2026年5月,以TanStack為源頭的多層供應鏈攻擊導致GitHub約3,800個內部儲存庫遭外洩,CISA將相關CVE列入KEV目錄。

攻擊鏈

TanStack受駭 
  → Nx Console v18.95.0被植入惡意竊資套件(CVE-2026-48027)
    → GitHub員工安裝受污染的VS Code延伸套件
      → GitHub約3,800個內部儲存庫遭未授權存取外洩
        → CISA列入KEV(CVE-2026-48027)

涉及漏洞

CVE元件影響
CVE-2026-48027Nx Console v18.95.0竊資軟體植入,CISA KEV收錄

後續影響

  • GitHub:約3,800個內部儲存庫受影響,官方2026-05-24確認根源
  • CISA:罕見將供應鏈攻擊事件列入KEV
  • Grafana Labs:GitHub存取權杖外洩事件根源亦可追溯至此攻擊鏈(token未完整輪換致擴大)
  • TeamPCP:被認定為攻擊組織,同時對Mistral AI、AntV NPM生態系發動攻擊

攻擊組織

TeamPCP是本攻擊鏈背後的網路犯罪組織,於2026年5月多次發動供應鏈攻擊:

  • 5月初:入侵TanStack
  • 5月19日:滲透AntV NPM生態系統(639個惡意套件)
  • 5月24日:以5萬美元兜售GitHub儲存庫資料

來源文章

相關頁面