Entwicklung & Code

Nach Cyberangriffen: TanStack prüft Einschränkungen für Pull-Requests


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Als Reaktion auf die jüngst erlittenen Supply-Chain-Attacken hat TanStack seine internen Sicherheitsmaßnahmen verstärkt. Zudem denkt der Anbieter von JavaScript/TypeScript‑Libraries über eine weitere Schutzvorkehrung nach. Sie könnte darin bestehen, Pull Requests künftig nur noch auf Einladung zuzulassen.

Weiterlesen nach der Anzeige

Im Rahmen der seit Ende April laufenden Mini Shai-Hulud-Angriffswelle nahmen Cyberkriminelle auch TanStack ins Visier. Dabei platzieren sie zahlreiche mit Credential-Stealern verseuchte @tanstack/*-Pakete auf dem JavaScript-Paketmanager npm.




(Bild: jaboy / 123rf.com)

Tools und Trends in der JavaScript-Welt: Die enterJS 2026 wird am 16. und 17. Juni in Mannheim stattfinden. Das Programm dreht sich rund um JavaScript und TypeScript, Frameworks, Tools und Bibliotheken, Security, UX und mehr. Ttickets sind im Online-Ticketshop erhältlich.

Bei TanStack dient den Cyberkriminellen ein manipulierter Pull Request (PR) als Angriffsvektor. Der PR wird durch pull_request_target automatisch ausgeführt und kann so den GitHub‑Actions‑Cache infizieren. Inzwischen hat sich die Welle auch auf das AntV-Ökosystem von Ant Group ausgeweitet.

In seinem Blog schreibt TanStack, zu unvorsichtig gehandelt zu haben, zumal GitHub bereits seit Jahren vor Sicherheitslücken im Zusammenhang mit pull_request_target warnt. Den GitHub‑Actions‑Event‑Trigger hat TanStack nun aus der CI entfernt und durch den von GitHub empfohlenen workflow_run ersetzt. Des Weiteren sind mittlerweile alle pnpm‑ und GitHub-Actions-Caches deaktiviert, alle Actions auf feste Commit‑SHAs gepinnt und die SMS‑basierte 2FA auf npm und GitHub abgeschaltet.

Als zusätzliche Sicherheitsmaßnahmen will TanStack das statische Analyse-Tool zizmor als verpflichtenden PR‑Check für alle Repositories einführen und eine CODEOWNERS-Datei für die .github‑Ordner einsetzen, sodass sich Änderungen an Workflows nur noch von Kern‑Maintainern vornehmen lassen. Außerdem tritt an die Stelle des pnpm‑Setup‑Cache nun die Funktion actions/cache/restore, die durch ihr deutlich konservativeres Standardverhalten Angriffe erschweren soll.

Abschottung als Lösung?

Weiterlesen nach der Anzeige

Über eine weitere diskutierte Maßnahme ist man sich bei TanStack am wenigsten einig. Bei ihr geht es darum, ob es externen Mitwirkenden nicht mehr erlaubt sein sollte, Pull Requests gegen TanStack‑Repos zu eröffnen. Man befürchtet eine abschreckende Wirkung, da der klassische Weg vom Nutzer zum Committer zum Maintainer oft mit dem Eröffnen eines PRs und dessen Review beginne. Gegen die Supply-Chain-Attacke, in der ein bösartiger PR in der CI ausgeführt wurde, hätte diese Maßnahme ohnehin nicht geholfen, wie TanStack einräumt.


(mro)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen