TanStack npm paket diserang supply chain, 84 versi berbahaya
Judul asli: Postmortem: TanStack NPM supply-chain compromise
Mengapa Ini Penting
Menunjukkan kerentanan supply chain npm dan risiko GitHub Actions yang perlu diwaspadai pengembang
Pada 11 Mei 2026, penyerang menerbitkan 84 versi berbahaya di 42 paket @tanstack/* npm menggunakan kombinasi GitHub Actions cache poisoning dan ekstraksi token OIDC. Malware mencuri kredensial AWS, GCP, dan SSH dari host yang terinfeksi.
Serangan supply chain terjadi pada 11 Mei 2026 pukul 19:20-19:26 UTC menggunakan pola "Pwn Request" pull_request_target dan cache poisoning GitHub Actions. Penyerang membuat fork TanStack/router, menambahkan payload JavaScript berukuran 2,3 MB yang disamarkan, lalu membuka pull request. Saat npm install dijalankan, malware mengekstrak kredensial dari AWS IMDS, GCP metadata, token Kubernetes, kunci SSH, dan mengirimkannya melalui jaringan Session/Oxen messenger yang terenkripsi. Malware juga menyebar ke paket lain milik korban. Peneliti eksternal ashishkurmi dari StepSecurity mendeteksi serangan dalam 20 menit. npm security telah dilibatkan untuk menghapus tarball yang terinfeksi.