GitHub Actions Cache PoisoningがOSSを侵食　Angular、tj-actions、Cline、TanStackも標的に　公開リポジトリのpublish pipelineを2年にわたり乗っ取り　tj-actions/changed-files攻撃では23,000超の下流に悪性コード #GitHubActions #サプライチェーン攻撃 #OSS 引用元↓

今日はBluesky投稿のGitHub Actionsで、セッション作成回数の制限に引っかかってエラー。 正直、さっぱりわからんかった。 結局のところActions CacheでBlueskyのセッションファイルを復元・保存し、次回以降のWorkflowで再利用する構成に緊急対応。 ぐぬぬ。そんなん知るか〜い！ pic.x.com/qYQVgPdlEO

🛡️ 「PRを出しただけ」で本番環境が汚染される——GitHub Actions Cache Poisoning攻撃を理解する TanStackで実際に起きたPR起点の本番汚染攻撃の仕組みと、pull_request_targetの落とし穴・対策をまとめました。 zenn.dev/singularity/ar… #GitHubActions #Security #SupplyChain #npm #zenn

本当にremoteのturbo cacheが必要だったのかは考えたいなー。個人間での共有、turbo engineによるtask, function単位での関数化、特にturbopack。実際Rustへの置き換えだけで満足する速度になって、CIのcacheとかもgithub actions/cache内に閉じていれば満足か。

TanStackのnpm侵害、かなり怖い。 2026/5/11、42個の@tanstack/* npm packagesで84個の悪意あるバージョンが公開。 原因はnpm token漏洩ではなく、 ・pull_request_targetの危険パターン ・GitHub Actions cache poisoning ・OIDC tokenをrunner memoryから抜く手法 の合わせ技。 x.com/tan_stack/stat…