TanStack供應鏈攻擊擴散鏈GitHub三千八百個儲存庫外洩
2026年5月,以TanStack為源頭的多層供應鏈攻擊導致GitHub約3,800個內部儲存庫遭外洩,CISA將相關CVE列入KEV目錄。
攻擊鏈
TanStack受駭
→ Nx Console v18.95.0被植入惡意竊資套件(CVE-2026-48027)
→ GitHub員工安裝受污染的VS Code延伸套件
→ GitHub約3,800個內部儲存庫遭未授權存取外洩
→ CISA列入KEV(CVE-2026-48027)
涉及漏洞
| CVE | 元件 | 影響 |
|---|---|---|
| CVE-2026-48027 | Nx Console v18.95.0 | 竊資軟體植入,CISA KEV收錄 |
後續影響
- GitHub:約3,800個內部儲存庫受影響,官方2026-05-24確認根源
- CISA:罕見將供應鏈攻擊事件列入KEV
- Grafana Labs:GitHub存取權杖外洩事件根源亦可追溯至此攻擊鏈(token未完整輪換致擴大)
- TeamPCP:被認定為攻擊組織,同時對Mistral AI、AntV NPM生態系發動攻擊
攻擊組織
TeamPCP是本攻擊鏈背後的網路犯罪組織,於2026年5月多次發動供應鏈攻擊:
- 5月初:入侵TanStack
- 5月19日:滲透AntV NPM生態系統(639個惡意套件)
- 5月24日:以5萬美元兜售GitHub儲存庫資料
來源文章
- ithome-2026-05-29-weekly-security-report-0525-0529-176215 — 資安週報0525~0529彙整
相關頁面
- Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 — 同一事件早期報導
- GitHub內部儲存庫未授權存取事件2026 — GitHub事件頁面
- Nx Console VS Code延伸套件供應鏈攻擊CVE-2026-48027竊資軟體植入 — Nx Console漏洞詳情
- TeamPCP滲透AntV NPM生態系統Mini Shai-Hulud供應鏈攻擊 — TeamPCP同期攻擊
- teampcp — TeamPCP攻擊組織
- github — GitHub受害實體
- nx-console — Nx Console漏洞元件