Compromission supply-chain npm de TanStack analysée
Original : Postmortem: TanStack NPM supply-chain compromise
Pourquoi c'est important
Démontre la sophistication croissante des attaques supply-chain npm
TanStack révèle qu'un attaquant a publié 84 versions malveillantes sur 42 packages npm le 11 mai 2026 via GitHub Actions, exploitant des tokens OIDC pour voler des credentials AWS, GCP, et SSH avant détection en 20 minutes.
L'attaque s'est déroulée entre 19h20 et 19h26 UTC le 11 mai 2026. L'attaquant a combiné le pattern "Pwn Request" via pull_request_target, l'empoisonnement de cache GitHub Actions, et l'extraction de tokens OIDC en mémoire. Le malware s'activait lors de npm install, récupérait les credentials depuis AWS IMDS, GCP metadata, tokens Kubernetes/Vault, clés SSH et GitHub, puis les exfiltrait via le réseau Session/Oxen. Le script se propageait automatiquement en republiant d'autres packages maintenus par la victime. Aucun token npm n'a été volé directement. La détection a été faite par le chercheur ashishkurmi de stepsecurity. TanStack recommande la rotation de tous les credentials AWS, GCP, Kubernetes, Vault, GitHub, npm et SSH accessibles depuis les hosts d'installation compromis.