#安全资讯 用于现代 WEB 开发的 TanStack 系列工具包遭到供应链攻击，黑客利用流程漏洞发布 84 个恶意 NPM 包。目前相关软件包已经被弃用，但在昨天夜里使用这些软件包构建的开发者需要立即排查，黑客可能会通过执行恶意代码窃取开发者的各类敏感凭据。查看详情：https://ourl.co/112892

每月下载量超过 5000 万次的现代 WEB 开发工具包 TanStack 系列遭到供应链攻击，TanStack 账户下约有 84 个 NPM 软件包被黑客替换为恶意版本，网络安全公司 Socket 扫描到异常后立即发出警报，随后 TanStack 确认攻击并立即着手清除恶意版本。

以 @tanstack/react-router 包为例，这个软件包每周下载量就达到 1200 万次，此类包通过 NPN 生态系统直接或间接广泛使用，因此从软件供应链角度而言，此类供应链攻击可能会造成非常广泛的破坏。

分析发现黑客分发的恶意版本主要新增 package.json 和 tanstack_runner.js，这些文件会在安装基于 Git 的依赖项时自动执行，最终可以可以在安装过程中运行任意代码，例如用于窃取某些敏感凭据等。

TanStack 团队分析后将此次安全问题归咎于多种 GitHub Actions 攻击，NPM 相关凭证没有被泄露、NPM 发布工作流也没有攻破，恶意发布操作是在工作流的测试和清理阶段运行攻击者控制的代码后，通过项目的 OIDC 受信任发布者绑定进行身份验证，从而直接将新的软件包发布到 NPM 注册表。

作为紧急应对措施，TanStack 团队立即弃用受影响的版本并联系 NPM 安全团队进行处理，当前 GitHub Actions 缓存条目已经被清理，TanStack 还在合并强化更改重构受影响的工作流、添加存储库所有者保护、锁定第三方操作引用等。

Socket 已经公布所有受影响的软件包，建议在昨天夜里使用这些软件包构建的开发者立即进行排查：https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack