Fireship视频2026年5月14日

一个PR就劫持了NPM注册表...

8.5Score

可直接观看的视频资源打开原视频

TL;DR · AI 摘要

NPM注册表被单个PR攻击，导致100+包被污染，影响超500万次/周下载。

核心要点

100+包被污染，每周下载量超500万
攻击者通过PR触发CI流程获取发布令牌
恶意代码可窃取npm令牌并传播到其他包

结构提纲

按章节快速跳转。

§事件概述
100+ NPM包被攻击，影响超500万次/周下载。
·攻击机制
攻击者通过创建PR触发CI流程获取发布令牌。
›漏洞原因
Tanstack配置错误，允许来自fork的PR运行CI工作流。

思维导图

用一张图看清主题之间的关系。

查看大纲文本（无障碍 / 无 JS 友好）

NPM供应链攻击事件
- 攻击方式
  - PR触发CI流程
- 影响范围
  - 100+包，500万次/周下载
- 漏洞原因
  - CI配置错误，允许fork PR运行

金句 / Highlights

值得收藏与分享的关键句。

攻击者通过创建PR触发CI流程获取发布令牌，导致100+包被污染。
— 第2段
⬇︎ 下载 PNG 𝕏 分享到 X
恶意代码可窃取npm令牌并传播到其他包，形成链式攻击。
— 第4段
⬇︎ 下载 PNG 𝕏 分享到 X
该攻击利用了NPM的可信发布功能，说明现有防护存在漏洞。
— 第1段
⬇︎ 下载 PNG 𝕏 分享到 X

#NPM#安全#供应链攻击

一个PR就劫持了NPM注册表... | Fireship | traeai