피드로 돌아가기
TanStack weighs invitation-only pull requests after supply chain attack
The RegisterThe Register
Security

pull_request_target 오설정으로 인한 Supply Chain Attack 대응 및 CI/CD 파이프라인 강화

TanStack weighs invitation-only pull requests after supply chain attack

2026년 5월 18일2intermediate

Context

GitHub Actions의 pull_request_target 트리거를 통한 자동 워크플로우 실행 구조의 취약점 노출. Shai-Hulud worm을 이용한 메모리 내 Secret 추출 및 Shared Cache 오염을 통한 전체 리포지토리 침해 발생.

Technical Solution

  • 위험한 프로세스 실행 가능성이 있는 CI 파이프라인 내 pull_request_target 트리거 전면 제거
  • Mutable한 태그 기반 Action 참조 방식을 특정 커밋 SHA 핀 고정 방식으로 변경하여 버전 변조 방지
  • pnpm 11의 minimumReleaseAge 설정을 통한 의존성 패키지의 최소 배포 기간 검증 로직 도입
  • pnpm 및 GitHub Actions의 기존 Shared Cache 전체 비활성화를 통한 오염 데이터 제거
  • SMS 기반 2FA를 제거하여 심스왑(SIM Swapping) 등 인증 수단 탈취 경로 차단
  • 외부 기여자의 PR 직접 생성을 제한하고 Issue 기반의 Invitation-only PR 모델 도입 검토

1. pull_request_target 사용 시 빌드나 실행 단계가 포함되어 있는지 검토하고 pull_request로 대체

2. 외부 Action 사용 시 tags(v

1.0) 대신 commit SHA를 사용하여 Supply Chain 공격 차단

3. 의존성 패키지 업데이트 시 minimumReleaseAge와 같은 유예 기간 설정으로 악성 패키지 유입 방지

4. CI/CD Cache 범위가 Fork PR과 Base Branch 간에 의도치 않게 공유되는지 스코핑 확인

원문 읽기