Phân tích hậu sự cố: Vụ xâm phạm chuỗi cung ứng npm của TanStack

• Vào khoảng 19:20~19:26 UTC ngày 2026-05-11, kẻ tấn công đã phát hành 84 phiên bản độc hại trên 42 gói npm @tanstack/
• Chuỗi tấn công kết hợp “Pwn Request” pull_request_target, đầu độc bộ nhớ đệm GitHub Actions và trích xuất token OIDC từ bộ nhớ của runner
• Token npm và quy trình publish không bị đánh cắp hay xâm phạm; mã độc đã trực tiếp POST lên registry bằng quyền OIDC trusted publisher
• Khi cài đặt các phiên bản bị ảnh hưởng, thông tin xác thực AWS, GCP, Kubernetes, Vault, GitHub, npm, SSH có thể đã bị lộ và cần được thay thế
• Tất cả các phiên bản bị ảnh hưởng đã bị đánh dấu deprecated, đang được gỡ tarball cùng với npm security, và đã công bố issue theo dõi cùng GitHub Security Advisory

Tổng quan sự cố

• Trong khoảng 19:20~19:26 UTC ngày 2026-05-11, kẻ tấn công đã phát hành 84 phiên bản độc hại trên 42 gói npm @tanstack/*
• Chuỗi tấn công kết hợp mẫu “Pwn Request” của pull_request_target, đầu độc bộ nhớ đệm GitHub Actions vượt qua ranh giới tin cậy giữa fork↔base, và trích xuất token OIDC từ bộ nhớ tiến trình của runner GitHub Actions
• Đã xác nhận token npm không bị đánh cắp, và bản thân workflow npm publish cũng không bị xâm phạm
• Các phiên bản độc hại được nhà nghiên cứu bên ngoài ashishkurmi phát hiện công khai từ stepsecurity trong vòng 20 phút
• Tất cả các phiên bản bị ảnh hưởng đã bị đánh dấu deprecated, và đang được gỡ tarball khỏi registry cùng với npm security
• Người dùng đã cài đặt các phiên bản bị ảnh hưởng trong ngày 2026-05-11 phải thay thế thông tin xác thực AWS, GCP, Kubernetes, Vault, GitHub, npm, SSH mà máy chủ cài đặt có thể truy cập
• Issue theo dõi là TanStack/router#7383, GitHub Security Advisory là GHSA-g7cv-rxg3-hmpx

Phạm vi ảnh hưởng

• Các gói bị ảnh hưởng

  • Phạm vi ảnh hưởng gồm 42 gói và 84 phiên bản, với mỗi gói có 2 phiên bản được phát hành cách nhau khoảng 6 phút
  • Danh sách đầy đủ có trong issue theo dõi
  • Các dòng sản phẩm đã được xác nhận không bị ảnh hưởng là @tanstack/query*, @tanstack/table*, @tanstack/form*, @tanstack/virtual*, @tanstack/store, gói meta @tanstack/start
  • @tanstack/start-* không nằm trong danh sách đã xác nhận không bị ảnh hưởng

• Hành vi của mã độc

  • Khi môi trường nhà phát triển hoặc CI chạy npm install, pnpm install, yarn install với các phiên bản bị ảnh hưởng, npm sẽ xử lý mục optionalDependencies độc hại và lấy orphan payload commit từ fork network
  • Sau đó script vòng đời prepare được thực thi, và router_init.js bị làm rối với kích thước khoảng 2.3MB được giấu trong tarball bị ảnh hưởng sẽ chạy
  • Script độc hại thu thập thông tin xác thực từ các vị trí phổ biến như AWS IMDS/Secrets Manager, metadata GCP, token service-account của Kubernetes, token Vault, ~/.npmrc, token GitHub, CLI gh, .git-credentials, khóa riêng SSH
  • Dữ liệu bị đánh cắp được rò rỉ qua mạng tải tệp của Session/Oxen messenger, với đích đến là filev2.getsession.org, seed{1,2,3}.getsession.org
  • Do mạng này được mã hóa đầu cuối và không có C2 do kẻ tấn công kiểm soát, biện pháp giảm thiểu ở lớp mạng chỉ giới hạn ở chặn IP/tên miền
  • Logic tự lây lan liệt kê các gói khác do nạn nhân quản lý bằng registry.npmjs.org/-/v1/search?text=maintainer:<user>, rồi phát hành lại bằng cùng phương thức chèn này
  • Vì payload chạy như một phần của vòng đời npm install, các máy chủ đã cài đặt các phiên bản bị ảnh hưởng trong ngày 2026-05-11 phải được coi là có khả năng đã bị xâm phạm

Dòng thời gian

• Trước cuộc tấn công: giai đoạn đầu độc cache

  • Vào 17:16 UTC ngày 2026-05-10, kẻ tấn công tạo github.com/zblgg/configuration, một fork của TanStack/router, rồi đổi tên để tránh bị phát hiện trong danh sách fork
  • Vào 23:29 UTC ngày 2026-05-10, commit độc hại 65bf499d16a5e8d25ba95d69ec9790a6dd4a1f14 được tạo trên fork với danh tính giả mạo claude <claude@users.noreply.github.com>
  • Commit này thêm packages/history/vite_setup.mjs, một payload JS đã bundle dài khoảng 30.000 dòng, và gắn [skip ci] vào thông điệp commit để ngăn CI chạy trên sự kiện push
  • Khoảng 10:49 UTC ngày 2026-05-11, zblgg mở PR #7378 nhắm tới main của TanStack/router với tiêu đề “WIP: simplify history build”
  • bundle-size.yml và labeler.yml đều tự động chạy cho PR bằng pull_request_target, và vì pull_request_target bỏ qua cổng phê duyệt cho người đóng góp lần đầu nên không cần phê duyệt riêng
  • pr.yml dùng pull_request bị chặn ở trạng thái chờ phê duyệt và không được chạy
  • Trong khoảng 11:01~11:11 UTC ngày 2026-05-11, zblgg nhiều lần force-push vào PR head để kích hoạt thêm các lần chạy pull_request_target
  • Vào 11:11 UTC ngày 2026-05-11, commit độc hại 65bf499d được đưa vào PR head, và job benchmark-pr của bundle-size.yml checkout refs/pull/7378/merge, sau đó chạy pnpm install và pnpm nx run @benchmarks/bundle-size:build, khiến vite_setup.mjs được thực thi
  • Vào 11:29 UTC ngày 2026-05-11, một cache GitHub Actions dung lượng 1.1GB có tên Linux-pnpm-store-6f9233a50def742c09fde54f56553d6b449a535adf87d4083690539f49ae4da11 được lưu vào TanStack/router
  • Cache này được lưu trong scope refs/heads/main và được cấu hình để khớp với khóa mà release.yml sẽ truy xuất ở lần push main tiếp theo
  • Vào 11:31 UTC ngày 2026-05-11, kẻ tấn công đưa PR trở lại b1c061af, tức HEAD của main khi đó, khiến PR hiển thị như một no-op 0 file, rồi đóng PR và xóa branch ngay trong cùng phút, nhưng cache đã bị đầu độc vẫn còn lại

• Kích hoạt: giai đoạn phát hành

  • Vào 19:15 UTC ngày 2026-05-11, Manuel merge PR #7369, tạo ra một lần push lên main, và workflow run 25613093674 của release.yml bắt đầu lúc 19:15:44 rồi thất bại
  • Vào 19:20:39 UTC ngày 2026-05-11, npm registry nhận publish của @tanstack/history@1.161.9 cùng 41 package sibling khác
  • Tổng cộng khoảng 84 phiên bản trên 42 package đã được publish, nhưng ở đúng thời điểm này chỉ thấy khoảng một nửa; phần còn lại được publish trong lần chạy thứ hai
  • Việc xác thực publish được thực hiện qua OIDC trusted-publisher binding cho TanStack/router release.yml@refs/heads/main, nhưng không phải xảy ra trong step Publish Packages của workflow đã bị bỏ qua do test thất bại
  • Bên thực sự publish là malware chạy trong giai đoạn test/dọn dẹp, nó mint OIDC token với quyền id-token: write rồi POST trực tiếp tới registry.npmjs.org
  • Vào 19:20:47 UTC ngày 2026-05-11, run 25613093674 kết thúc với trạng thái failure
  • Vào 19:16 UTC ngày 2026-05-11, Manuel merge PR #7382, tạo ra lần push thứ hai lên main, và workflow run 25691781302 bắt đầu lúc 19:16:22
  • Lần chạy thứ hai cũng restore cùng cache đã bị đầu độc, và vào 19:26:14 UTC ngày 2026-05-11, bộ phiên bản thứ hai cho mỗi package, bao gồm @tanstack/history@1.161.12, được publish bằng cùng cơ chế OIDC
  • Vào 19:26:20 UTC ngày 2026-05-11, run 25691781302 cũng kết thúc với trạng thái failure

• Phát hiện và ứng phó

  • Khoảng 19:50 UTC ngày 2026-05-11, nhà nghiên cứu bên ngoài carlini mở issue #7383 kèm fingerprint optionalDependencies độc hại và danh sách package
  • Danh sách ban đầu gồm 14 trong số 42 package, và nhà nghiên cứu cũng trực tiếp thông báo cho bộ phận bảo mật npm
  • Khoảng 20:00 UTC ngày 2026-05-11, Manuel xác nhận sự cố trong #7383 và bắt đầu ứng phó
  • Khoảng 20:10 UTC ngày 2026-05-11, Manuel gỡ quyền push GitHub của các thành viên khác trong nhóm để đề phòng khả năng máy người dùng đã bị xâm phạm
  • Khoảng 20:30 UTC ngày 2026-05-11, Tanner gửi toàn bộ danh sách IOC và yêu cầu gỡ tarball phía registry tới security@npmjs.com, đồng thời nộp báo cáo malware chính thức qua npm
  • Khoảng 21:00 UTC ngày 2026-05-11, sau khi quét toàn bộ 295 package @tanstack/*, phạm vi được xác nhận là 42 package và 84 phiên bản
  • Tanner bắt đầu deprecate toàn bộ 84 package bị ảnh hưởng trên npm, và @tan_stack cùng các maintainer phát đi cảnh báo công khai trên Twitter/X, LinkedIn và Bluesky
  • Vào 21:30 UTC ngày 2026-05-11, vector đầu độc cache pull_request_target trong bundle-size.yml và fork zblgg/configuration được xác định
  • Tất cả mục cache của mọi repository TanStack/* trên GitHub đã bị xóa qua API
  • PR hardening được merge, bundle-size.yml được cấu hình lại, thêm guard repository_owner, và ref của action bên thứ ba được ghim bằng SHA
  • GitHub Security Advisory chính thức được công bố và CVE đã được yêu cầu

Nguyên nhân gốc rễ

• Sự kết hợp của ba lỗ hổng

  • Cuộc tấn công cần đồng thời cả ba lỗ hổng; chỉ một lỗ hổng riêng lẻ thì không đủ
  • Mỗi lỗ hổng nối liền ranh giới tin cậy của lỗ hổng khác theo chuỗi: mã fork PR đi vào cache của base repository, cache của base repository đi vào runtime của release workflow, rồi runtime của release workflow dẫn tới quyền ghi vào npm registry

• Mẫu pull_request_target “Pwn Request”

  • bundle-size.yml được chạy bằng pull_request_target cho fork PR, và trong trigger context đó nó checkout PR merge ref của fork rồi chạy build
  • Cấu trúc cốt lõi như sau

  on:
    pull_request_target:
      paths: ['packages/**', 'benchmarks/**']
  
  jobs:
    benchmark-pr:
      steps:
        - uses: actions/checkout@v6.0.2
          with:
            ref: refs/pull/${{ github.event.pull_request.number }}/merge # fork's merged code
  
        - uses: TanStack/config/.github/setup@main # transitively calls actions/cache@v5
  
        - run: pnpm nx run @benchmarks/bundle-size:build # executes fork-controlled code
  

  • Tác giả workflow đã tách job comment-pr và job benchmark-pr để phân chia ranh giới tin cậy, và trong YAML comment có ghi rõ ý định giữ benchmark-pr là “untrusted with read-only permissions”
  • Tuy nhiên, thao tác lưu post-job của actions/cache@v5 không bị chặn bởi permissions:, và việc ghi cache không dùng GITHUB_TOKEN của workflow mà dùng token nội bộ của runner
  • Vì vậy, cấu hình permissions: contents: read không thể ngăn việc sửa đổi cache
  • Phạm vi cache ở cấp repository, và các lần chạy pull_request_target dùng cache scope của base repository chia sẻ cùng phạm vi đó với push lên main
  • PR chạy trong cache scope của base repository có thể làm nhiễm bẩn cache entry mà production workflow của main sẽ restore về sau

• Đầu độc cache của GitHub Actions

  • vite_setup.mjs độc hại được thiết kế để ghi dữ liệu theo đúng pnpm-store key mà workflow release.yml hợp lệ sẽ tính toán và tra cứu
  • Key mục tiêu có dạng Linux-pnpm-store-${hashFiles('**/pnpm-lock.yaml')}
  • Khi job benchmark-pr kết thúc, post-step của actions/cache@v5 lưu pnpm store đã bị đầu độc đúng với key đó
  • Sau đó khi release.yml chạy trên push lên main, step Setup Tools khôi phục entry đã bị đầu độc đúng như thiết kế của kẻ tấn công
  • Kiểu tấn công này thuộc họ GitHub Actions cache poisoning mà Adnan Khan đã tài liệu hóa vào năm 2024; đây không phải lỗi chỉ riêng TanStack gặp phải mà là vấn đề thiết kế của GitHub Actions cần được giảm thiểu một cách có chủ đích

• Trích xuất token OIDC từ bộ nhớ runner

  • release.yml khai báo id-token: write một cách chính đáng vì cần nó cho npm OIDC trusted publishing
  • Khi pnpm store đã bị đầu độc được restore vào runner, binary do kẻ tấn công kiểm soát sẽ hiện diện trên đĩa và được gọi trong bước build
  • Binary đó tìm tiến trình GitHub Actions Runner.Worker qua /proc/*/cmdline, rồi đọc /proc/<pid>/maps và /proc/<pid>/mem để dump bộ nhớ của worker
  • Sau đó nó trích xuất token OIDC mà runner đã lazy mint dưới thiết lập id-token: write từ trong bộ nhớ
  • Với token đã trích xuất, kẻ tấn công xác thực yêu cầu POST trực tiếp tới registry.npmjs.org, qua đó bỏ qua hoàn toàn step Publish Packages của workflow
  • Cách trích xuất bộ nhớ này giống với phương thức dùng trong vụ compromise tj-actions/changed-files vào tháng 3/2025, và cùng một Python script có chứa attribution comment đã được sử dụng
  • Kẻ tấn công không phát minh ra kỹ thuật mới mà chỉ tái tổ hợp các nghiên cứu công khai

• Vì sao từng thành phần riêng lẻ không đủ

  • Bản thân pull_request_target vẫn có thể dùng cho các tác vụ đáng tin cậy như label hoặc comment
  • Chỉ đầu độc cache bên trong một dependency đã bị xâm phạm thì vẫn cần một phương tiện publish riêng
  • Chỉ riêng việc trích xuất token OIDC vẫn cần sẵn khả năng thực thi mã trên runner

Phát hiện và IOC

• Con đường phát hiện

  • Việc phát hiện không diễn ra từ nội bộ mà đến từ bên ngoài
  • carlini đã mở issue #7383 khoảng 20 phút sau khi gói được publish và cung cấp toàn bộ phân tích kỹ thuật
  • Ngay sau khi Tanner bắt đầu war room, anh nhận được cuộc gọi từ Socket.dev để xác nhận tình hình

• Fingerprint cho maintainer downstream và công cụ bảo mật

  • Trong manifest của các gói @tanstack/*, mục optionalDependencies sau là IOC quan trọng

  "optionalDependencies": {
    "@tanstack/setup": "github:tanstack/router#79ac49eedf774dd4b0cfa308722bc463cfe5885c"
  }
  

  • IOC ở cấp tệp là router_init.js tại root của package, có dung lượng khoảng 2.3MB và không nằm trong "files"
  • Cache key là Linux-pnpm-store-6f9233a50def742c09fde54f56553d6b449a535adf87d4083690539f49ae4da11
  • URL payload giai đoạn 2 là https://litter.catbox.moe/h8nc9u.js, https://litter.catbox.moe/7rrc6l.mjs
  • Mạng lưới dùng để rò rỉ dữ liệu là filev2.getsession.org, seed{1,2,3}.getsession.org
  • Danh tính commit giả mạo là claude <claude@users.noreply.github.com>; đây không phải Anthropic Claude thật mà là email GitHub no-reply bị ngụy tạo
  • Các tài khoản của kẻ tấn công thực sự là zblgg id 127806521, voicproducoes id 269549300
  • Fork của kẻ tấn công là github.com/zblgg/configuration, được đổi tên từ fork TanStack/router nhằm né tránh việc tìm kiếm
  • Payload commit orphan trong mạng fork là 79ac49eedf774dd4b0cfa308722bc463cfe5885c
  • Workflow run thực hiện publish độc hại là github.com/TanStack/router/actions/runs/25613093674 attempt 4 và github.com/TanStack/router/actions/runs/25691781302

Bài học rút ra

• Những điểm làm tốt

  • Các nhà nghiên cứu bên ngoài đã phát hiện sự cố trong khoảng 20 phút sau khi xảy ra và báo cáo kèm đầy đủ chi tiết kỹ thuật
  • Đội ngũ maintainer đã lập tức phối hợp trên nhiều múi giờ
  • Cộng đồng phát hiện đã xác lập được các mẫu IOC công khai rõ ràng chỉ trong vài giờ

• Những điểm cần cải thiện

  • Không có alerting nội bộ, và việc bị compromise được biết đến từ bên thứ ba
  • Cần có cơ chế theo dõi publish của chính mình, đồng thời có kế hoạch hợp tác chặt chẽ hơn với các công ty nghiên cứu bảo mật hệ sinh thái có thể phát hiện nhanh các vấn đề như vậy và rút ngắn feedback loop
  • Workflow pull_request_target từ lâu đã được biết là một mẫu rủi ro nhưng chưa được audit
  • Các floating ref của third-party action như @v6.0.2, @main tạo ra rủi ro supply-chain thường trực, tách biệt với chính sự cố lần này
  • Do chính sách của npm là “không thể unpublish nếu có dependent”, nên gần như tất cả các package bị ảnh hưởng đều không thể unpublish
  • Phải phụ thuộc vào npm security để gỡ tarball ở phía registry, khiến thời gian các tarball độc hại còn ở trạng thái có thể cài đặt kéo dài thêm vài giờ
  • Danh sách 7 maintainer trong npm scope đồng nghĩa với 7 mục tiêu đánh cắp credential riêng biệt cho cùng một blast radius
  • Binding trusted-publisher của OIDC không có bước review cho từng lần publish; một khi đã cấu hình, bất kỳ code path nào trong workflow cũng có thể mint token có quyền publish
  • Giải pháp thay thế cần thiết là chuyển sang classic token ngắn hạn có review thủ công, hoặc bổ sung provenance-source-verification để phát hiện publish từ các workflow step ngoài dự kiến

• Những điểm may mắn

  • Kẻ tấn công đã chọn payload làm hỏng bài test, khiến bước publish bình thường bị skip và không tạo ra tarball trông “sạch” hơn
  • Vì vậy cuộc tấn công đã lộ ra đủ ồn ào để được phát hiện nhanh
  • Nếu kẻ tấn công thận trọng hơn và không làm hỏng bài test, họ có thể đã publish âm thầm thêm vài giờ nữa
  • Kẻ tấn công đã tái sử dụng một script memory-dump công khai có chứa attribution comment, không viết mã mới nên việc đối sánh IOC diễn ra nhanh hơn

Câu hỏi còn lại

• Cần xác minh liệu step Setup Tools trong bundle-size.yml có thực sự gọi actions/cache@v5 hay không
• Cần đọc và xác minh post-job log của một trong các lần chạy pull_request_target cho PR #7378; ví dụ run id là 25666610798
• Cần xác minh commit head PR ban đầu chứa gì trước khi biến mất do force-push; có thể vẫn còn trong GitHub reflog
• Cần xác minh cách commit độc hại đi vào git object store của fork là push git trực tiếp hay được tạo qua GitHub web UI, thứ vốn sẽ để lại audit-log entry
• Cần đối chiếu lịch sử hoạt động để xác minh voicproducoes là tài khoản thật hay sock puppet
• Cần xác minh cache npm, có vẻ là 6 entry linux-npm-store-* trùng lặp, có bị đầu độc hay không và liệu chúng có thực sự được dùng không
• Cần xác minh liệu cuộc tấn công có cần Nx Cloud hay chỉ với GitHub Actions cache cũng đã đủ hoạt động
• Cần xác định liệu có thể nhận diện các fork khác trong mạng fork của TanStack/router có chứa orphan payload commit hay không
• Nếu các fork khác đang host commit đó, khả năng truy cập github:tanstack/router#79ac49ee... sẽ được duy trì và việc dọn dẹp sẽ khó hơn
• Cần audit xem các repo TanStack khác như router, query, table, form, virtual có dùng cùng kiểu mẫu bundle-size.yml hay không
• Cần lấy từ npm support số người dùng đã thực sự tải các phiên bản bị ảnh hưởng trong khoảng thời gian publish
• Cần xác minh liệu máy của 7 maintainer có bị compromise riêng rẽ hay không
• Publish độc hại không dùng npm token của maintainer, nhưng máy của maintainer có thể là mục tiêu thứ cấp của logic tự lây lan

Tài liệu tham khảo

• TanStack/router#7383: vấn đề theo dõi
• GHSA-g7cv-rxg3-hmpx: GitHub Security Advisory
• The Monsters in Your Build Cache: Github Actions Cache Poisoning: nghiên cứu năm 2024 của Adnan Khan về cache poisoning trong GitHub Actions
• Keeping your GitHub Actions and workflows secure: Preventing pwn requests: tài liệu ngăn chặn pwn request của GitHub Security Lab
• Harden-Runner detection: tj-actions/changed-files action is compromised: tài liệu phát hiện liên quan vào tháng 3/2025 của StepSecurity
• Unpublish: chính sách unpublish của npm
• Provenance: tài liệu provenance của npm
• GHSA-g7cv-rxg3-hmpx: GitHub Security Advisory đề cập đầy đủ danh sách phiên bản bị ảnh hưởng