@tan_stack: 安全公告 —— TanStack npm 包遭遇供应链攻击，影响 42 个 @tanstack/* 包（共 84 个版本……

安全公告 —— TanStack npm 包 今天早些时候 UTC 时间约 19:20 和 19:26，npm 上发布了影响 42 个 @tanstack/* 包（共 84 个版本）的供应链攻击。每个包包含两个恶意版本。 当前状态：ACTIVE —— 这些包已被弃用，npm 安全团队已介入，发布路径正在被关闭。 严重级别：HIGH —— 恶意负载会窃取 AWS、GCP、Kubernetes 和 Vault 凭证、GitHub Token、.npmrc 内容以及 SSH 密钥。 如果你在今天 UTC 时间 19:20 至 19:30 之间安装了任何 @tanstack/* 包，请将该主机视为可能已受感染： • 立即轮换云、GitHub 和 SSH 凭证 • 审查过去几小时内的云审计日志 • 锁定到一个此前已知的安全版本，并从干净的 lockfile 重新安装 检测方法 —— 恶意 manifest 中包含： "optionalDependencies": { "@tanstack/setup": "github:tanstack/router#79ac49ee..." } 任何包含此条目的版本均为受感染版本。恶意负载通过一个 git 解析的 optionalDependency 交付，其 prepare 脚本会运行 router_init.js（约 2.3 MB，被植入每个 tarball 的包根目录）。 由于存在第三方依赖，npm 策略阻止了大多数受影响包的撤架操作。所有 84 个版本均被标记为弃用并附有 SECURITY 警告，npm 安全团队已介入在注册表层面移除相关 tarball。 完整技术细节、受影响的包和版本列表以及持续的状态更新请访问：https://github.com/TanStack/router/issues/7383… 感谢安全研究人员负责任地披露此漏洞。