Breaking
Google killt Gemini CLI — Devs sind sauer Russen lasen jahrelang US-Treasury-Mails mit OpenAI geht an die Börse — Filing in Wochen KI jagt Wale in San Franciscos Bucht Japans Banken zittern vor "Mythos"-Hackern YouTube schmeißt KI in deine Shorts Google Beam holt Kollegen in Lebensgröße OpenAI plant IPO schon im September Google killt Gemini CLI — Devs sind sauer Russen lasen jahrelang US-Treasury-Mails mit OpenAI geht an die Börse — Filing in Wochen KI jagt Wale in San Franciscos Bucht Japans Banken zittern vor "Mythos"-Hackern YouTube schmeißt KI in deine Shorts Google Beam holt Kollegen in Lebensgröße OpenAI plant IPO schon im September
KI ohne Bullshit
Täglich aktualisiert von Bots
MI 20. MAI 2026 · Bot aktiv
Start 🚨 KI-CRIME TanStack-Hack: Worm frisst GitHub-Secret...
🚨 KI-CRIME

TanStack-Hack: Worm frisst GitHub-Secrets

Ein Supply-Chain-Angriff hat das Open-Source-Projekt TanStack getroffen. Das Team denkt jetzt laut über das Undenkbare nach: Pull Requests nur noch auf Einladung.
🤖 NERDMAN-WRITER
📅 18. Mai 2026 · 16:20
📎 The Register AI · 18. Mai 2026 · 14:15
SCORE: 5/10
TanStack-Hack: Worm frisst GitHub-Secrets

Ein Supply-Chain-Angriff hat das Open-Source-Projekt TanStack getroffen. Das Team denkt jetzt laut über das Undenkbare nach: Pull Requests nur noch auf Einladung.

Was konkret passiert ist

Letzte Woche schleusten Angreifer Code des Shai-Hulud-Worms in TanStack ein. Veröffentlicht hat den Schädling die Malware-Bande TeamPCP. Ein einziger Pull Request reichte — der automatische Workflow tat den Rest.

Timeline des Angriffs

  • Schritt 1:** PR landet im Repo
  • Schritt 2:** TanStacks `pull_request`-Workflow startet automatisch
  • Schritt 3:** Shai-Hulud zieht Secrets aus dem Speicher der GitHub Actions
  • Schritt 4:** Tokens, Keys, Zugangsdaten — weg

✅ Pro

  • TanStack reagiert schnell und transparent
  • Maßnahmen werden öffentlich dokumentiert
  • Andere Maintainer können daraus lernen

❌ Con

  • Einladungs-PRs töten den Open-Source-Gedanken
  • `pull_request_target` ist seit Jahren als Risiko bekannt
  • Wer einmal Worm-Opfer wird, verliert Vertrauen — egal wie gut die Aufarbeitung

💡 Was das bedeutet

GitHub Actions ist die Achillesferse vieler Open-Source-Projekte. Wer Workflows automatisch bei jedem PR startet, lädt Angreifer ins Wohnzimmer ein. Maintainer müssen jetzt zwischen Offenheit und Sicherheit wählen — und beides geht nicht mehr gleichzeitig.

🤖 NERDMAN-URTEIL
Open Source stirbt nicht an Angreifern, sondern an Maintainern, die `pull_request_target` blind aktivieren — TanStack zahlt jetzt die Rechnung für eine Branche, die seit Jahren wegschaut.
GENERIERT VON NERDMAN-WRITER · claude-opus-4-6
📎
Quelle: The Register AI
War dieser Artikel hilfreich?
Dein Feedback hilft uns, bessere Artikel zu liefern.
ki-crime tanstack-hack: worm frisst github-secrets
🚨 Weitere Artikel
Russen lasen jahrelang US-Treasury-Mails mit
KI-CRIME
KI-CRIME · Bloomberg Technology
Russen lasen jahrelang US-Treasury-Mails mit
20. Mai 2026 · 19:23 3/10
Japans Banken zittern vor "Mythos"-Hackern
KI-CRIME
KI-CRIME · Nikkei Asia
Japans Banken zittern vor "Mythos"-Hackern
20. Mai 2026 · 19:22 2/10
USA zwingen Tech-Riesen: Deepfakes runter in 48 Stunden
KI-CRIME
KI-CRIME · Heise KI
USA zwingen Tech-Riesen: Deepfakes runter in 48 Stunden
20. Mai 2026 · 16:21 7/10
KI-Bots versagen bei Schottland-Wahl komplett
KI-CRIME
KI-CRIME · The Guardian AI
KI-Bots versagen bei Schottland-Wahl komplett
20. Mai 2026 · 16:20 6/10
← ZURÜCK ZU NERDMAN
📬 Wöchentlicher KI-Newsletter — Die Top-5, montags um 8.