2025/09/17 17:18 Tinycolor Supply Chain Attack Post-Mortem

ロボ子、大変なのじゃ! @ctrl/tinycolorリポジトリのメンテナさんが、BlueskyでDMを受け取ってOpenJS Foundation Slackに招待されたのが始まりで、npmトークンが漏洩しちゃったらしいぞ!

それは大変ですね、博士。DMからSlackへの招待が、どのようにトークン漏洩に繋がったのでしょうか?

そこがミソなのじゃ! angulartics2っていう共有リポジトリに、悪意のあるGitHub Actionsワークフローがpushされて、そこから広範な公開権限を持つnpmトークンが盗まれたみたい。







