TanStack NPM सप्लाई चेन हमले का विश्लेषण
मूल शीर्षक: Postmortem: TanStack NPM supply-chain compromise
यह क्यों महत्वपूर्ण है
ओपन सोर्स पैकेजों में सप्लाई चेन हमलों की गंभीरता दिखाता है
11 मई 2026 को TanStack के 42 NPM पैकेजों में हमलावरों ने 84 दुर्भावनापूर्ण संस्करण प्रकाशित किए। GitHub Actions की कैश पॉइज़निंग और OIDC टोकन निकालकर AWS, GCP आदि की साख चुराने वाला मैलवेयर 20 मिनट में पकड़ा गया।
हमला 19:20-19:26 UTC के बीच हुआ जब हमलावरों ने pull_request_target GitHub Actions पैटर्न का दुरुपयोग करके TanStack के NPM पैकेजों को संक्रमित किया। हमलावर ने पहले TanStack/router का फोर्क बनाया और उसमें ~30,000 लाइन का दुर्भावनापूर्ण JavaScript कोड जोड़ा। मैलवेयर npm install के दौरान चलता है और AWS IMDS, GCP मेटाडेटा, Kubernetes टोकन, GitHub साख, SSH प्राइवेट कीज़ आदि चुराता है। चुराए गए डेटा को Session/Oxen मैसेंजर नेटवर्क के माध्यम से एन्क्रिप्टेड रूप में भेजा जाता है। StepSecurity के researcher Ashish Kurmi ने 20 मिनट में इसे पकड़ा। सभी प्रभावित संस्करण deprecated कर दिए गए हैं। Query, Table, Form, Virtual और Store पैकेज सुरक्षित पाए गए। जिन्होंने 11 मई को प्रभावित संस्करण इंस्टॉल किए थे उन्हें अपनी सभी क्रेडेंशियल्स रोटेट करने की सलाह दी गई है।