Op 11 mei 2026 werd het TanStack-ecosysteem (bekend van bibliotheken zoals TanStack Query en Router) het slachtoffer van een geavanceerde supply-chain aanval via npm. Tijdens deze aanval werden er 84 kwaadaardige versies gepubliceerd, verspreid over 42 verschillende @tanstack/* pakketten.

Hier is een uitleg van hoe de aanval werkte en wat de gevolgen waren:

Hoe de aanval plaatsvond De aanval begon in de GitHub Actions-omgeving. De aanvaller maakte gebruik van een combinatie van methoden: een kwetsbaarheid in het afhandelen van Pull Requests (een "pull_request_target Pwn Request"), het vergiftigen van de GitHub Actions-cache over de vertrouwensgrens tussen de 'fork' en de 'base', en het extraheren van een OIDC-token uit het geheugen van de zogenaamde "runner". Omdat de malafide versies werden gepublice ...