Ashishkurmi

**Nome do Software Vulnerável e Versões Afetadas** TanStack (versões afetadas não especificadas) **Description** Um ataque de cadeia de suprimentos envolvendo um worm autopropagável conhecido como Mini Shai-Hulud permitiu a publicação de versões maliciosas de 42 pacotes `@tanstack/*` no registro npm. O invasor explorou uma cadeia de três problemas: uma configuração incorreta de `pull request target`, envenenamento de cache do GitHub Actions através da fronteira de confiança fork-base e extração de token OIDC da memória em tempo de execução do processo do executor do Actions. Isso permitiu a publicação de malware sob uma identidade confiável com atestações de procedência SLSA Build Level 3 válidas. O malware utiliza um arquivo JavaScript ofuscado chamado `router init.js` para coletar dados sensíveis, incluindo credenciais de AWS, GCP e Kubernetes, tokens do GitHub e npm, chaves privadas SSH e carteiras de criptomoedas. Os dados roubados são exfiltrados através da rede de mensagens Session/Oxen usando endpoints como 'filev2.getsession.org'. O worm é autopropagável, utilizando credenciais roubadas para comprometer outros pacotes mantidos pela vítima. Ele também estabelece persistência através de um daemon `gh-token-monitor` e injeções nas configurações do VS Code e Claude Code. Os impactos no mundo real incluem o comprometimento de dezenas de milhares de sistemas, com vítimas confirmadas como OpenAI (certificados de assinatura de código roubados), Mistral AI (contaminação de SDK) e GitHub (violação de 3.800 repositórios internos). **Recommendations** Atualize para a versão corrigida de cada pacote afetado e reinstale a partir de um lockfile limpo. Fixe as dependências `@tanstack/*` em versões conhecidas como seguras publicadas antes de 11/05/2026 às 19:00 UTC. Exclua a pasta `node modules` e o lockfile antes de reinstalar para evitar que dependências transitivas resolvam para versões maliciosas. Configure o npm para ignorar scripts de ciclo de vida usando `npm config set ignore-scripts true` como uma defesa temporária. Remova os daemons `gh-token-monitor` e rotacione todas as credenciais acessíveis ao processo de instalação se houver suspeita de comprometimento. Monitore os executores de CI para consultas de DNS para 'getsession.org'.

Name of the Vulnerable Software and Affected Versions @usebruno/cli versões instaladas entre 00:21 UTC e ~03:30 UTC em 31 de março de 2026 Description Um ataque à cadeia de suprimentos envolvendo versões comprometidas do pacote npm `axios` introduziu uma dependência oculta que implantou um Trojan de Acesso Remoto (RAT) multiplataforma. Usuários de `@usebruno/cli` que executaram `npm install` durante a janela de tempo afetada podem ter sido impactados, potencialmente levando à execução de um script `postinstall` malicioso, instalação de RAT e exfiltração de credenciais e dados confidenciais. Usuários do aplicativo desktop Bruno e aqueles que instalaram fora da janela de ataque não foram impactados. As versões comprometidas do `axios` (`1.14.1`, `0.30.4`) foram removidas do npm. Recommendations Se você instalou o @usebruno/cli durante a janela afetada, reinstale as dependências. Troque todas as credenciais e segredos.