TanStack npm 供應鏈攻擊：OpenAI 應對全記錄

核心概念

2026 年 5 月 11 日，代號「Mini Shai-Hulud」的供應鏈攻擊行動成功入侵 TanStack npm 套件生態系，這是繼 2025 年 9 月 Shai-Hulud 蠕蟲事件、2026 年 3 月 Axios/Trivy 事件之後，又一次影響廣泛的開源供應鏈攻擊。

攻擊技術：三層 GitHub Actions 漏洞鏈

攻擊者並未直接入侵 TanStack 維護者帳號，而是利用 TanStack GitHub Actions 工作流程中三個已知漏洞的組合：

1. PR 工作流程錯誤設定：允許外部 fork 的 pull request 觸發具寫入權限的 workflow
2. GitHub Actions 快取投毒：在 CI 執行環境中注入惡意快取
3. OIDC Token 竊取：從 Actions runner 記憶體中即時提取短期認證 token

這個組合技讓攻擊者能夠「劫持合法的建構管線本身」，使惡意套件帶有官方 TanStack 的合法簽名，無法從外觀上辨別真偽。

攻擊規模：42 套件、84 惡意版本、五小時內 401+ 惡意製品

此次攻擊在五小時內波及 npm 與 PyPI 雙生態系，共 170+ 個套件受損，包含：TanStack 42 個套件（84 個惡意版本）、UiPath 65 個套件、Mistral AI、OpenSearch JavaScript Client、Guardrails AI 等。惡意版本在被安全研究員發現前約在六分鐘內完成部署。

對 OpenAI 的具體影響

OpenAI 的受害程度屬「有限損害」：

• 兩台員工設備遭到入侵，攻擊者竊取了內部憑證
• 應用程式簽章金鑰（Windows、macOS、iOS、Android）受到波及，需以新憑證重新簽署所有應用程式
• 無用戶資料外洩：無證據顯示用戶資料、產品、客戶密碼或 API Key 遭曝露

由於簽章金鑰受損，舊版 macOS OpenAI 應用程式的憑證信任鏈需要強制更新。OpenAI 要求所有 macOS 用戶在 2026 年 6 月 12 日前完成應用程式更新。

事前防禦：Axios 事件的教訓

OpenAI 在此次攻擊之前，已因 2026 年 3 月的 Axios 供應鏈事件加強了防禦措施：

• CI/CD 管線中強化了憑證材料（hardened credential materials）
• 套件管理器設定了 minimumReleaseAge 控制（不自動安裝剛發布的套件版本）
• 部署額外軟體驗證套件來源（package provenance）

這些措施將損害有效控制在兩台設備的範圍內，而非全組織規模的洩露。然而攻擊仍突破防線，說明供應鏈攻擊的根本挑戰：即使有多層防禦，合法建構管線被劫持時，技術層面的信任機制仍會失效。

關鍵要點

• 攻擊不打目標本身，打目標的依賴：簽章金鑰受損是因為惡意套件帶有「合法簽名」，傳統的代碼審查無法攔截
• minimumReleaseAge 是關鍵防禦模式：避免系統立即採用新版套件，給安全社群發現惡意版本的時間窗口（此次攻擊存活約六分鐘）
• OIDC Token 是新攻擊面：現代 CI/CD 從長效密碼改為短效 OIDC token 的轉型，反而引入了新的竊取向量
• 損害控制有效性：兩台設備 vs. 全組織，隔離成功的關鍵是憑證分區與快速輪換機制
• 供應鏈攻擊正在組織化：從單點事件走向系統性活動（Mini Shai-Hulud 在五小時內跨 170+ 套件）

實務應用

開發團隊可立即採行的防禦措施：

• Lockfile 嚴格策略：使用 npm ci 而非 npm install，確保每次安裝與 lockfile 完全一致；任何 lockfile 異動都需 code review
• 啟用 minimumReleaseAge：pnpm v11 的 minimumReleaseAge 設定可延遲新版套件安裝（建議 24 小時）；其他套件管理器可透過策略或監控達成類似效果
• OIDC 工作流程稽核：定期審查 GitHub Actions 中 pull_request_target 的使用，避免 fork PR 取得寫入權限；禁止在 PR 觸發的 workflow 中使用需要寫入權限的 token
• Package Provenance 驗證：優先採用有 npm provenance attestation 的套件，可在安裝時驗證來源建構環境
• 憑證輪換 SOP：確保有員工設備受損時的憑證快速輪換流程，特別是 CI/CD 相關的 token 與簽章金鑰

延伸觀點

根據 SecurityWeek 與 Mondoo 等多方來源的交叉驗證，此次 TanStack 事件反映三個在資安社群中已獲共識的趨勢：

1. 供應鏈攻擊進入規模化階段

2025 年 Shai-Hulud 蠕蟲開創了「自動化複製感染」的先例；2026 年的 Mini Shai-Hulud 進一步展示了跨生態系（npm + PyPI）同時打擊的能力。攻擊不再是針對單一弱點的偶發事件，而是能在五小時內部署 400+ 惡意製品的組織化活動。

2. 消費端防護優先於發布端防護

Mondoo 的研究指出，npm 發布端的 Trusted Publishing 與強制 2FA 等機制，無法阻止「合法建構管線被劫持」的情況（正是此次攻擊模式）。消費端的 minimumReleaseAge、strictDepBuilds（封鎖安裝腳本）、trustPolicy（偵測憑證降級）三層防護更為關鍵。目前 pnpm v11 是唯一預設啟用這三層的套件管理器。

3. 金鑰輪換是最後一道防線

多起事件（Solana Web3.js、Checkmarx、TanStack/OpenAI）的應對建議都指向同一原則：一旦懷疑憑證遭竊，應從「乾淨的機器」重新生成並立即部署所有相關金鑰，而非嘗試確認確切洩露範圍後再行動。OpenAI 要求 macOS 用戶強制更新，正是這個原則的應用：寧可推送全量更新，也不冒簽章鏈仍被信任的風險。

相關頁面：智能時代的網路安全：OpenAI 五點行動計畫 | OpenAI 進階帳戶安全（Advanced Account Security） | GPT-5.5-Cyber 與可信存取計畫：AI 驅動資安防禦的新里程碑 | Codex 安全生產部署：沙盒、審批工作流與可觀測性

反向連結

以下頁面引用了本頁：

• GPT-5.5-Cyber 與可信存取計畫：AI 驅動資安防禦的新里程碑（文章精選）
• OpenAI 進階帳戶安全（Advanced Account Security）（文章精選）
• 智能時代的網路安全：OpenAI 五點行動計畫（文章精選）
• OpenAI 前沿治理框架：AI 安全合規的法規對齊策略（文章精選）