今天abc看了啥🤔

🔴 Tanstack 系列包被骇。

- 约 42 个包的 84 个版本受到影响；Tanstack Query (@tanstack/react-query) 未受影响。 [1]
- 在 5/11 安装了受影响版本的设备可能也因此被骇。
- 恶意行为包括收集设备上的凭据，以及向设备用户维护的 npm 包加入恶意代码并重新打包发布等。
- 有用户称，恶意软件会在设备上持续运行，如果监测到其收集的 token 被 revoke，则会清空设备家目录。 [2]

tanstack.com/~

1. GHSA-g7cv-rxg3-hmpx
2. gh:TanStack/router#7383

#Tanstack

Tanstack

Postmortem: TanStack npm supply-chain compromise | TanStack Blog

On 2026-05-11, an attacker chained a pull_request_target Pwn Request, GitHub Actions cache poisoning across the fork↔base trust boundary, and OIDC token extraction from runner memory to publish 84 malicious versions across 42 @tanstack/* packages on npm.…