TanStackのNPMパッケージが侵害される
原題: TanStack NPM Packages Compromised
なぜ重要か
人気オープンソースライブラリの侵害はサプライチェーン攻撃の深刻性を示し、開発者コミュニティのセキュリティ対策強化の重要性を浮き彫りにしている
2026年5月11日、オープンソースライブラリTanStackの複数のNPMパッケージが侵害されたことが判明した。開発者のashishkurmiがGitHub上でセキュリティインシデントを報告し、StepSecurityが攻撃の詳細を調査している。
人気のオープンソースライブラリTanStackのNPMパッケージで重大なセキュリティインシデントが発生した。2026年5月11日にGitHub上でIssue #7383として報告されたこの問題では、複数のNPMパッケージの最新リリースが侵害されたことが明らかになった。
TanStackはReact向けルーティングライブラリなど、JavaScriptエコシステムで広く使用されているツールセットで、GitHubでは14,400以上のスターを獲得している人気プロジェクトだ。
開発者のashishkurmiがこのセキュリティインシデントの報告者となり、現在進行中の調査について「我々はこのセキュリティインシデントを積極的に調査しており、調査結果をここで共有している」と述べている。
セキュリティ企業StepSecurityがこの攻撃の詳細な分析を実施しており、同社のブログで「Mini Shai Hulud is Back: A Self-Spreading Supply Chain Attack Hits the NPM Ecosystem」として調査結果を公開している。この攻撃は自己拡散型のサプライチェーン攻撃として特徴づけられている。
現在、TanStackチームは問題の全容把握と対策に取り組んでいる状況だ。