Post #41335

TanStack 被 npm 供应链攻击，影响窗口约 20 分钟 2026-05-11 19:20 至 19:26 UTC，攻击者向 42 个 @ tanstack/* npm 包发布 84 个恶意版本。攻击链结合 pull_request_target“Pwn Request”、GitHub Actions 缓存投毒和从 runner 内存提取 OIDC token；npm token 未被盗，发布流程本身未被攻破。 恶意版本约 20 分钟内被外部研究员发现，已全部废弃，TanStack 已联系 npm 安全团队移除 tarball。当天安装过受影响版本的用户应将安装主机视为可能被入侵，并轮换相关云、Kubernetes、Vault、GitHub、npm 和 SSH 凭据。 TanStack Blog via RT Time 🌸在花频道 · 茶馆讨论 · 投稿通道