TanStack 11 de mayo de 2026

Compromiso de la cadena de suministro de TanStack NPM a través de envenenamiento de caché de GitHub Actions y extracción de tokens OIDC

minutos

cascading-failure

causa raíz

Timeline del incidente

2026-05-10 17:16 UTC · Atacante

El atacante crea un fork github.com/zblgg/configuration (renombrado para evadir búsquedas de forks) de TanStack/router.

2026-05-10 23:29 UTC · Atacante

El atacante añade el commit malicioso 65bf499d16a5e8d25ba95d69ec9790a6dd4a1f14 al fork, incluyendo el payload JS ofuscado.

2026-05-11 ~10:49 UTC · Atacante

Se abre el PR #7378 contra TanStack/router#main. Los workflows pull_request_target (bundle-size.yml y labeler.yml) se ejecutan automáticamente, sin requerir aprobación.

2026-05-11 11:01–11:11 UTC · Atacante

Múltiples force-pushes del atacante al PR, disparando más ejecuciones de pull_request_target.

2026-05-11 11:11 UTC · GitHub Actions

El force-push aterriza el commit malicioso 65bf499d en el PR. El job benchmark-pr de bundle-size.yml ejecuta el código del fork, incluyendo el payload malicioso.

2026-05-11 11:29 UTC · GitHub Actions

Se guarda una entrada de caché de GitHub Actions (1.1 GB) envenenada, con un scope que será utilizado por los workflows de producción en 'main'.

2026-05-11 11:31 UTC · Atacante

El atacante hace force-push al PR para revertirlo a un no-op, cierra el PR y elimina la rama. La caché envenenada persiste.

2026-05-11 19:15 UTC · Manuel (Mantenedor)

Manuel fusiona el PR #7369, lo que dispara el workflow release.yml en 'main'.

2026-05-11 19:20:39 UTC · Malware en GitHub Actions runner

El registro de npm recibe la publicación de @tanstack/history@1.161.9 y 41 paquetes hermanos. La publicación se autentica mediante un token OIDC extraído de la memoria del runner.

2026-05-11 19:16 UTC · Manuel (Mantenedor)

Manuel fusiona el PR #7382, disparando una segunda ejecución de release.yml en 'main'.

2026-05-11 19:26:14 UTC · Malware en GitHub Actions runner

El registro de npm recibe la publicación de la segunda versión por paquete (@tanstack/history@1.161.12, etc.), utilizando el mismo mecanismo OIDC.

2026-05-11 ~19:50 UTC · Investigador externo

Un investigador externo (carlini) abre el issue #7383 con un análisis completo de la huella maliciosa y la lista de paquetes.

2026-05-11 ~20:00 UTC · Manuel (Mantenedor)

Manuel reconoce el incidente en #7383; comienza la respuesta al incidente.

2026-05-11 ~21:00 UTC · Tanner (Mantenedor)

Se confirma el alcance: 42 paquetes, 84 versiones. Tanner inicia el proceso de deprecación de npm para todos los paquetes afectados y se realiza una divulgación pública.

2026-05-11 21:30 UTC · Equipo de TanStack SRE

Se identifica el vector de envenenamiento de caché pull_request_target de bundle-size.yml. Se purgan todas las entradas de caché de GitHub Actions para los repositorios de TanStack. Se fusiona un PR de endurecimiento.

Análisis técnico

Este incidente representa un sofisticado ataque a la cadena de suministro que encadenó tres vulnerabilidades conocidas en GitHub Actions para comprometer los paquetes npm de TanStack. La causa raíz principal fue la configuración insegura del workflow pull_request_target (bundle-size.yml), que permitía la ejecución de código de forks externos y, crucialmente, la escritura en la caché de GitHub Actions del repositorio base. Esta configuración violó el límite de confianza implícito entre los forks y el repositorio principal.

El ataque se desarrolló en varias etapas. Primero, el atacante utilizó el patrón 'Pwn Request' para inyectar código malicioso en el entorno de ejecución de un workflow pull_request_target. Este workflow, al usar actions/checkout@v6.0.2 con ref: refs/pull/${{ github.event.pull_request.number }}/merge y ejecutar pnpm nx run @benchmarks/bundle-size:build, permitió que el código del fork se ejecutara en el contexto del repositorio base. La clave aquí es que actions/cache@v5 no respeta las permissions: configuradas para el job, permitiendo que un job con permisos de solo lectura escriba en la caché. El atacante envenenó deliberadamente la caché de pnpm-store con un payload que sería restaurado por el workflow de release.yml en futuras ejecuciones en la rama main.

Una vez que la caché envenenada fue restaurada en el runner del workflow release.yml (disparado por un merge legítimo a main), el código malicioso se ejecutó. Este malware estaba diseñado para extraer tokens OIDC de la memoria del proceso Runner.Worker de GitHub Actions, aprovechando la declaración id-token: write del workflow. Con el token OIDC, el malware pudo autenticarse directamente con registry.npmjs.org y publicar versiones maliciosas de 42 paquetes, eludiendo por completo el paso de publicación legítimo del workflow. La detección fue externa, lo que subraya la falta de monitoreo interno sobre las publicaciones de paquetes.

Las salvaguardas fallaron debido a una combinación de factores: la falta de una auditoría de seguridad de los workflows pull_request_target, el uso de referencias flotantes (@v6.0.2, @main) para acciones de terceros que introducen riesgo de cadena de suministro, y la ausencia de un monitoreo proactivo de las publicaciones de npm. La política de npm de 'no unpublish si existen dependientes' también exacerbó el incidente al retrasar la eliminación de los tarballs maliciosos. Este incidente es un claro ejemplo de cómo la combinación de vulnerabilidades conocidas puede llevar a un compromiso significativo si no se aplican mitigaciones conscientes.

Remediaciones y action items

✓ Reestructurar los workflows `pull_request_target` para evitar la ejecución de código de forks externos en el contexto del repositorio base, o al menos, asegurar que no puedan escribir en la caché compartida.
✓ Añadir `repository_owner` guards a los workflows `pull_request_target` para restringir su ejecución a PRs de colaboradores de confianza.
✓ Fijar las referencias de las acciones de terceros a SHAs específicos en lugar de tags flotantes (`@v6.0.2`, `@main`) para mitigar el riesgo de cadena de suministro.
✓ Purgar todas las entradas de caché de GitHub Actions para los repositorios de TanStack.
✓ Implementar monitoreo interno para detectar publicaciones inesperadas o anómalas en el registro de npm.
✓ Evaluar la posibilidad de mover a tokens clásicos de corta duración con revisión manual para las publicaciones de npm, o añadir verificación de la fuente de procedencia (provenance-source-verification) para detectar publicaciones de pasos de workflow inesperados.
✓ Auditar todos los workflows `pull_request_target` en todos los repositorios de TanStack para identificar patrones de riesgo similares.

Lecciones para arquitectos

→ Los límites de confianza en sistemas distribuidos (como GitHub Actions) deben ser explícitos y rigurosamente aplicados, especialmente entre código de terceros/forks y recursos del repositorio base.
→ El envenenamiento de caché es un vector de ataque potente; las cachés compartidas entre contextos de confianza diferentes (ej. PRs de forks y ramas principales) deben ser aisladas o validadas.
→ La extracción de credenciales en tiempo de ejecución de procesos de CI/CD es una técnica de ataque conocida; los tokens de corta duración y el aislamiento de procesos son cruciales.
→ La detección externa de incidentes es una señal de fallo en el monitoreo interno; es fundamental tener telemetría y alertas sobre acciones críticas (ej. publicaciones de paquetes).
→ Las políticas de inmutabilidad (ej. 'no unpublish') pueden prolongar el impacto de un incidente de seguridad; se deben considerar mecanismos de revocación de emergencia.
→ La reutilización de 'tradecraft' publicado por atacantes subraya la importancia de estar al tanto de las últimas investigaciones en seguridad y aplicar sus mitigaciones.
→ La gestión de credenciales en entornos de CI/CD debe ser granular; `id-token: write` sin restricciones adicionales es un riesgo si el runner puede ser comprometido.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp