← 首页/AI 资讯
安全2026-05-20·VentureBeat + Trend Micro

TeamPCP 供应链蠕虫波及 170+ npm 包,TanStack 路由生态系统全线沦陷

GitHub 攻击只是 TeamPCP 更大规模行动的一环。该组织 5 月 11 日从 TanStack 生态系统入手,通过蠕虫式载荷感染 170 多个 npm 包和 2 个 PyPI 包,CVE-2026-45321 CVSS 评分高达 9.6。

TeamPCP 供应链蠕虫:波及范围远超预期

2026 年 5 月 20 日,安全研究人员确认 TeamPCP 的攻击规模远超最初估计。

攻击时间线

  • 5 月 11 日:从 TanStack 路由生态系统开始,蠕虫式载荷扩散到 170+ npm 包
  • 5 月 18 日:投毒 Nx Console VS Code 扩展,18 分钟窗口期
  • 此后:利用窃取的凭证横向移动,攻击更多组织

确认受害者

  • GitHub、OpenAI、Mistral AI、欧盟委员会
  • Trend Micro 追踪到 2026 年至少 7 波 TeamPCP 攻击
  • 此前目标包括 Aqua Trivy、Checkmarx KICS、LiteLLM、Bitwarden CLI 等

安全建议

安装了 Nx Console 扩展的开发者应立即:

  1. 轮换 GitHub 个人访问令牌
  2. 轮换 npm 令牌和 AWS 密钥
  3. 检查 1Password 保险库
  4. 审查 Claude Code 配置文件

来源: VentureBeat + Trend Micro
链接: https://venturebeat.com/security/github-confirms-3800-repos-stolen-poisoned-vs-code-extension-supply-chain-worm-microsoft-python-sdk

📰 原始来源

https://venturebeat.com/security/github-confirms-3800-repos-stolen-poisoned-vs-code-extension-supply-chain-worm-microsoft-python-sdk

← 上一篇

Jack Clark 牛津演讲预测:12 个月内 AI 合作获诺奖,2028 年 60%+概率 AI 训练出下一代自己

下一篇 →

GitHub 遭 TeamPCP 供应链攻击,3800 个内部仓库被窃取,OpenAI 和 Mistral 也中招

📰 更多动态

行业2026-06-07

MIT 用【战舰】游戏训练 AI 智能体学会问更好的问题,研究揭示智能体提问能力是关键瓶颈

行业2026-06-07

犹他州 9GW 超级数据中心 Stratos 遭起诉,纽约州或成首个暂停大型数据中心建设的州

行业2026-06-07

Ramp 完成 7.5 亿美元融资估值 440 亿美元,AI 支出管理赛道爆发