TanStack 被 npm 供应链攻击,影响窗口约 20 分钟
2026-05-11 19:20 至 19:26 UTC,攻击者向 42 个 @ tanstack/* npm 包发布 84 个恶意版本。攻击链结合 pull_request_target“Pwn Request”、GitHub Actions 缓存投毒和从 runner 内存提取 OIDC token;npm token 未被盗,发布流程本身未被攻破。
恶意版本约 20 分钟内被外部研究员发现,已全部废弃,TanStack 已联系 npm 安全团队移除 tarball。当天安装过受影响版本的用户应将安装主机视为可能被入侵,并轮换相关云、Kubernetes、Vault、GitHub、npm 和 SSH 凭据。
TanStack Blog
via RT Time
🌸 在花频道 · 茶馆讨论 · 投稿通道
2026-05-11 19:20 至 19:26 UTC,攻击者向 42 个 @ tanstack/* npm 包发布 84 个恶意版本。攻击链结合 pull_request_target“Pwn Request”、GitHub Actions 缓存投毒和从 runner 内存提取 OIDC token;npm token 未被盗,发布流程本身未被攻破。
恶意版本约 20 分钟内被外部研究员发现,已全部废弃,TanStack 已联系 npm 安全团队移除 tarball。当天安装过受影响版本的用户应将安装主机视为可能被入侵,并轮换相关云、Kubernetes、Vault、GitHub、npm 和 SSH 凭据。
TanStack Blog
via RT Time
🌸 在花频道 · 茶馆讨论 · 投稿通道
😱 97 ❤️ 5 🤬 3 😁 1 🤣 1
