🔴 Tanstack 系列包被骇。
- 约 42 个包的 84 个版本受到影响;Tanstack Query (
- 在 5/11 安装了受影响版本的设备可能也因此被骇。
- 恶意行为包括收集设备上的凭据,以及向设备用户维护的 npm 包加入恶意代码并重新打包发布等。
- 有用户称,恶意软件会在设备上持续运行,如果监测到其收集的 token 被 revoke,则会清空设备家目录。 [2]
tanstack.com/~
1. GHSA-g7cv-rxg3-hmpx
2. gh:TanStack/router#7383
#Tanstack
- 约 42 个包的 84 个版本受到影响;Tanstack Query (
@tanstack/react-query) 未受影响。 [1]- 在 5/11 安装了受影响版本的设备可能也因此被骇。
- 恶意行为包括收集设备上的凭据,以及向设备用户维护的 npm 包加入恶意代码并重新打包发布等。
- 有用户称,恶意软件会在设备上持续运行,如果监测到其收集的 token 被 revoke,则会清空设备家目录。 [2]
tanstack.com/~
1. GHSA-g7cv-rxg3-hmpx
2. gh:TanStack/router#7383
#Tanstack
Tanstack
Postmortem: TanStack npm supply-chain compromise | TanStack Blog
On 2026-05-11, an attacker chained a pull_request_target Pwn Request, GitHub Actions cache poisoning across the fork↔base trust boundary, and OIDC token extraction from runner memory to publish 84 malicious versions across 42 @tanstack/* packages on npm.…
