Mini Shai-Hulud: TanStack, OpenAI és az npm Supply Chain

A legutóbbi ellátási láncot érintő támadás nem csupán a nyílt forráskódú nyilvántartásokat vette célba. A világ egyik legbiztonságtudatosabb szervezetén belül eltérítette a kiadási folyamatot, és a behatolási pont egy szokásos npm-függőség telepítése volt.

2026. május 11-én a TeamPCP nevű támadócsoport elindította a Shai-Hulud féregkampányának negyedik hullámát, amelyet most Mini Shai-Hulud néven követnek nyomon. A támadás hat perc alatt 42 TanStack-csomag 84 rosszindulatú verzióját fertőzte meg az npm-nyilvántartásban, majd végül több mint 170 csomagra terjedt ki az npm és a PyPI (Python Package Index) forráskód-nyilvántartásokban, beleértve a Mistral AI, az UiPath és az OpenSearch névtereit is. Legalább egy érintett csomag, az @tanstack/react-router, hetente körülbelül 12 millió letöltést kap.

Ez az egyre fokozódó kampány negyedik hulláma. Az előző hullámok között szerepel az eredeti npm-támadás (Shai-Hulud 1.0) és a GitHub-bejelentkezési adatokat célzó 2.0-s hullám.

Az OpenAI a héten közölte, hogy két alkalmazott eszközét feltörték. A támadás nem érintette a felhasználói adatokat, az operatív rendszereket és a szellemi tulajdonjogokat, de a helyzet kezelése érdekében el kellett különíteni a rendszereket, meg kellett változtatni a bejelentkezési adatokat, külső számítógépes nyomozókat kellett bevonni, valamint egy függőség telepítése miatt teljes körűen ki kellett cserélni a kódaláírási tanúsítványokat a macOS, a Windows, az iOS és az Android rendszereken.

• A támadás időpontja: 2026. május 11.

• Megfertőzött csomagok: 42 @tanstack/* csomagban összesen 84 rosszindulatú változat; az npm és a PyPI nyilvántartásokban összesen több mint 170

• CVE: CVE-2026-45321, CVSS-pontszám: 9,6 (kritikus)

• Forrás: TeamPCP (más néven PCPcat, UNC6780)

• Mechanizmus: Három egymással összefüggő GitHub Actions-sebezhetőség – Pwn Request, cache poisoning, valamint OIDC (OpenID Connect) tokenek kinyerése a futtatófolyamat memóriájából

• Jelentős áldozat: OpenAI – két alkalmazott eszközét feltörték; a belső forráskód-tárolókból kiszivárogtak titkos adatok, többek között a macOS, iOS, Windows és Android rendszerekhez tartozó kódaláírási tanúsítványok

• Korábbi verziók: Shai-Hulud 1.0 (2025. szeptember), 2.0 (2025. november) és 3.0 (2025. december)

• Következmények: A fejlesztői és CI/CD-környezetek megsérültek , a karbantartói fiókokat és csomagokat elfoglalták, az SLSA-eredetiség és az aláírt összeállítások pedig már nem minősülnek „alapértelmezés szerint biztonságosnak”

• Főbb kockázatok: Olyan rosszindulatú csomagok, amelyek megfelelnek az SLSA (Supply-chain Levels for Software ) harmadik szintű eredetigazolási követelményeinek

A Mini Shai-Hulud Wave Four a kampány eddigi legkifinomultabb technikai megvalósítása. Míg a korábbi hullámok kompromittált karbantartói fiókokra támaszkodtak a rosszindulatú csomagok közvetlen közzétételéhez, a Wave Four három GitHub Actions-sebezhetőséget láncolt össze, hogy magát a legitim kiadási folyamatot is eltérítse.

A támadás menete:

1. Forkolás és álcázás: A támadó forkolta a TanStack/router-repozitóriumot, és átnevezte zblgg/configuration-re, hogy az ne tűnjön fel egyértelmű forknak a GitHub fork-listáján.
2. A munkafolyamat elindítása: megnyílt egy pull request, amely elindította a pull_request_target munkafolyamatot – a „Pwn Request” mintát, amely hozzáférést biztosít a munkafolyamatnak a forkolt kódhoz
3. A gyorsítótár megfertőzése: A támadó által létrehozott fork kódja egy 1,1 GB-os, megfertőzött pnpm-store bejegyzést írt a GitHub Actions gyorsítótárába, úgy, hogy a kiadási munkafolyamat később visszaállítsa azt
4. Nyomok eltüntetése: A rosszindulatú pull requestet ezután erőszakosan visszavonták egy „no-operation” állapotba, majd lezárták, hogy eltüntessék a támadásra utaló nyomokat
5. Várja meg a kiváltó eseményt: amikor a TanStack hivatalos karbantartói nem kapcsolódó pull requesteket egyesítettek a main ágba, a kiadási munkafolyamat elindult, és helyreállította a sérült gyorsítótárat
6. Steal the token: Attacker-controlled binaries read /proc/<pid>/mem of the Runner.Worker process to extract the OIDC token minted for npm trusted publishing
7. Közzététel a kiadási folyamaton keresztül: Ezeket a tokeneket arra használták, hogy 84 rosszindulatú csomagverziót tegyenek közzé az npm-nyilvántartásban a TanStack saját, törvényes kiadási folyamatán keresztül.
8. Az eredmény: olyan csomagok, amelyek érvényes SLSA Build Level 3 eredetigazolással, érvényes Sigstore-igazolással és hiteles GitHub Actions-aláírással rendelkeznek, a hivatalos kiadási folyamat során készültek, és hitelesítőadatokat ellopó kártevő szoftvert tartalmaznak. Ahogyan a TanStack a vizsgálati jelentésében megerősítette, a fejlesztők szemszögéből a csomagok kriptográfiailag hitelesnek tűntek, és semmilyen látható jel nem utalt a biztonsági résre.

Titkok kiszivárogtak: A kártevő program három egymást kiegészítő csatornán keresztül szivárogtatta ki a veszélybe került rendszereken aktívan elérhető titkos adatokat – hitelesítő adatokat és tokeneket: egy typosquat domainen (git-tanstack[.]com) keresztül, a decentralizált Session messenger hálózaton, valamint API GitHub API ellopott tokenek felhasználásával. A célzott hitelesítő adatok között szerepeltek GitHub-tokenek, AWS, GCP és Azure felhőalapú titkos adatok, CI/CD hitelesítési anyagok, Kubernetes hitelesítő adatok, HashiCorp Vault és SSH-kulcsok.

A fejlesztői gépeken a kártevő egy állandóan futó gh-token-monitor démonprogramot telepített (macOS LaunchAgent vagy Linux systemd segítségével), amely 60 másodpercenként lekérdezte a GitHubot. Amikor a token visszavonása miatt 40X-es hibakódot kapott, a démon megpróbálta futtatni az rm -rf ~/ parancsot, hogy törölje a felhasználó otthoni könyvtárát. A démon 24 óra elteltével automatikusan leállt.

Az OpenAI közleménye pontosan meghatározza, hogy pontosan mi került kiszivárogtatásra: a két érintett alkalmazott számára hozzáférhető belső forráskód-tárolók egy részéből származó, korlátozott mennyiségű hitelesítő adat, beleértve a macOS, iOS, Windows és Android termékekhez tartozó kódaláírási tanúsítványokat. Az OpenAI megerősítette, hogy nincs bizonyíték arra, hogy ezeket a tanúsítványokat rosszindulatú szoftverek aláírására használták volna, de óvintézkedésként mindet lecseréli, és megköveteli a macOS-felhasználóktól, hogy 2026. június 12. előtt frissítsék alkalmazásaikat, mivel ezt követően a régi tanúsítványokkal aláírt alkalmazások működése leállhat.

Az OpenAI közleményében van egy második részlet is, amelyre érdemes odafigyelni. A két megfertőzött eszköz még nem kapta meg a csomagkezelési beállítások frissítését, amely olyan ellenőrző mechanizmusokat tartalmazott, mint a kiadások minimális korhatárának ellenőrzése és a csomagok eredetének hitelesítése – ezeket éppen akkor vezették be a szervezet egész rendszerében. A támadás éppen ezen a bevezetési időszak alatt történt.

Ez egy valós és gyakori hiányosságot tükröz. A biztonsági intézkedéseket fokozatosan vezetik be. Bármely szakaszos bevezetés során a rendszerek egy része nagyobb kockázatnak van kitéve. A TeamPCP kampánya hetekig folyamatosan zajlott: rosszindulatú csomagokat tettek közzé a regisztrációs adatbázisokban, és várták, hogy azokat telepítsék. Az időzítés nem volt véletlen.

Minden olyan szervezet számára, amely a Mini Shai-Hulud biztonsági rés fennállásának ideje alatt telepíthette az érintett csomagokat:

1. A tokenek visszavonása előtt ellenőrizze a gh-token-monitor démon működését: először különítse el és készítsen biztonsági másolatot az érintett rendszerekről; a korai visszavonás a törlőparancs végrehajtását eredményezi.
2. Cserélje ki a nyilvánosságra került titkos adatokat: a GitHub PAT-kódokat, az npm-tokent, az SSH-kulcsokat és a felhőszolgáltatásokhoz tartozó hitelesítő adatokat minden olyan fejlesztő vagy folyamat esetében, amely az érintett időszakban telepített csomagokat; kapcsolja be a többfaktoros hitelesítést (MFA).
3. A sérült csomagok eltávolítása: törölje az npm gyorsítótárat és a node_modules mappát; rögzítse a csomagverziókat a 2026. május 12. után kiadott verziókra.
4. Ellenőrizze a GitHub Actions és a CI/CD munkafolyamatokat: keressen váratlan közzétételi eseményeket, új munkafolyamatokat vagy ismeretlen végpontok felé irányuló kimenő kapcsolatokat.
5. A csővezetékek megerősítése: korlátozza az életciklus-parancsfájlokat, korlátozza a kimenő hálózati hozzáférést és minimalizálja a token hatókörét.
6. A származási ellenőrzéseket egészítsük ki a tartalomvizsgálattal: a érvényes származási adatok a folyamat eredetét jelzik, nem pedig annak integritását; a tanúsítványok ellenőrzése mellett végezzenek rosszindulatú programok elleni vizsgálatot is.