Supply-Chain-Angriff auf TanStack: 42 npm-Pakete mit Credential Stealer manipuliert

KI-Zusammenfassung

Am 11. Mai 2026 entdeckte das TanStack-Team einen Supply-Chain-Angriff auf seinen npm-Account: 84 kompromittierte Versionen von 42 @tanstack/*-Paketen enthielten Malware zur Credential-Extraktion. Ein externer Sicherheitsforscher stellte die Manipulation nach 20 Minuten fest; die Pakete sind inzwischen als veraltet markiert. Die Schadsoftware zielt auf AWS Instance Metadata Service, GitHub-Token und private SSH-Schlüssel ab. Nicht betroffen waren Kernprodukte wie TanStack Query, Table, Form, Virtual, Store und das Meta-Package Start. Die Häufigkeit der Installationen der manipulierten Pakete ist noch unklar; Nutzer müssen ihre Zugangsdaten rotieren.