Jiayun's Blog

探索与分享

【好文共赏】CVE-2024-YIKES：Andrew Nesbitt 用一份满分讽刺事件报告，把 npm/PyPI/Cargo 的供应链宿命写成了三幕悲喜剧

Libraries.io / ecosyste.ms 的创始人 Andrew Nesbitt，把现代语言包仓库这二十年攒下来的所有供应链笑话——钓鱼 YubiKey、postinstall 偷凭证、被 vendored 进 Rust crate 又被 vendored 进 Python build tool 的依赖、自动批准 PR 的 Dependabot、把生态系统不慎修好的加密币蠕虫——压缩进一篇 1569 字的事件报告，写出了 2026 年 Q2 整个开源世界的精神状况。

Posted by Jiayun's Blog on Monday, May 18, 2026 00:00 UTC

【好文共赏】TanStack npm 投毒事件官方复盘：三条独立漏洞如何被串成一条供应链刀锋

Tanner Linsley 亲笔的 TanStack 供应链攻击 postmortem——pull_request_target 的 Pwn Request、GitHub Actions 跨信任边界的缓存投毒、与从 Runner 进程内存里抠出 OIDC token 的三段式利用链——是 2026 年最教科书级的供应链事件研究素材。

Posted by Jiayun's Blog on Thursday, May 14, 2026 00:00 UTC

TanStack 被投毒、OpenAI 紧急响应：npm 供应链攻击正在进入'信任凭证劫持'新阶段

Mini Shai-Hulud 攻击事件复盘：从 TanStack 投毒到 OpenAI 代码签名证书撤销，开源供应链安全的攻击面正在指数级扩大。

Posted by Jiayun's Blog on Thursday, May 14, 2026 00:00 UTC