TanStack多个软件包恶意软件投毒事件分析

42个 @tanstack/ 软件包恶意软件漏洞总结 漏洞概述 发布时间：2026-05-11 19:20 - 19:26 UTC 攻击方式：攻击者利用 GitHub Actions OIDC 信任的发布者绑定，通过 机制在 TanStack/router 仓库中注入恶意代码 恶意行为： - 窃取云凭证（AWS、GCP、Kubernetes、HashiCorp Vault） - 窃取 GitHub tokens 和 SSH 私钥 - 通过 SessionOwl 信使网络外泄数据 - 传播恶意软件到其他包 影响范围 受影响包列表（42个）： @tanstack/arktype-adapter (1.166.12, 1.166.15) @tanstack/eslint-plugin-router (1.161.9, 1.161.12) @tanstack/eslint-plugin-start (0.0.4, 0.0.7) @tanstack/history (1.161.9, 1.161.12) @tanstack/nitro-v2-vite-plugin (1.154.12, 1.154.15) @tanstack/react-router (1.169.5, 1.169.8) @tanstack/react-router-devtools (1.166.16, 1.166.19) @tanstack/react-router-ssr-query (1.166.15, 1.166.18) @tanstack/react-start (1.167.68, 1.167.71) @tanstack/react-start-client (1.166.51, 1.166.54) @tanstack/react-start-rsc (0.0.47, 0.0.50) @tanstack/react-start-server (1.166.55, 1.166.58) @tanstack/router-cli (1.166.46, 1.166.49) @tanstack/router-core (1.169.5, 1.169.8) @tanstack/router-devtools (1.166.16, 1.166.19) @tanstack/router-devtools-core (1.167.6, 1.167.9) @tanstack/router-generator (1.166.45, 1.166.48) @tanstack/router-plugin (1.167.38, 1.167.41) @tanstack/router-ssr-query-core (1.168.3, 1.168.6) @tanstack/router-utils (1.161.11, 1.161.14) @tanstack/router-vite-plugin (1.166.53, 1.166.56) @tanstack/solid-router (1.169.5, 1.169.8) @tanstack/solid-router-devtools (1.166.16, 1.166.19) @tanstack/solid-router-ssr-query (1.166.15, 1.166.18) @tanstack/solid-start (1.167.65, 1.167.68) @tanstack/solid-start-client (1.166.50, 1.166.53) @tanstack/solid-start-server (1.166.54, 1.166.57) @tanstack/start-client-core (1.168.5, 1.168.8) @tanstack/start-fn-stubs (1.161.9, 1.161.12) @tanstack/start-plugin-core (1.169.23, 1.169.26) @tanstack/start-server-core (1.167.33, 1.167.36) @tanstack/start-static-server-functions (1.166.44, 1.166.47) @tanstack/start-storage-context (1.166.38, 1.166.41) @tanstack/valibot-adapter (1.166.12, 1.166.15) @tanstack/virtual-file-routes (1.161.10, 1.161.13) @tanstack/vue-router (1.169.5, 1.169.8) @tanstack/vue-router-devtools (1.166.16, 1.166.19) @tanstack/vue-router-ssr-query (1.166.15, 1.166.18) @tanstack/vue-start (1.167.61, 1.167.64) @tanstack/vue-start-client (1.166.46, 1.166.49) @tanstack/vue-start-server (1.166.50, 1.166.53) @tanstack/zod-adapter (1.166.12, 1.166.15) 修复方案 已修复版本：所有受影响包均有对应的修复版本（如 @tanstack/arktype-adapter 修复为 1.166.16） 临时缓解措施： 1. 将 @tanstack/ 依赖锁定到 2026-05-11 19:00 UTC 之前的已知良好版本 2. 删除 node_modules 和 lockfile，重新安装以确保依赖解析到恶意版本 3. 配置 npm 跳过生命周期脚本： 4. CI 审计在受影响时间窗口内运行过 的 runner POC/利用代码 恶意依赖配置 恶意脚本文件 恶意文件列表 (~2.3 MB 混淆 JavaScript，位于包根目录，未在 files 中声明) （孤儿提交中的辅助文件） 恶意 Git 引用 外泄网络 第二阶段载荷 URL 攻击者 GitHub 账户 (id 127806521) (id 269549300) 攻击者 fork 配置

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

TanStack多个软件包恶意软件投毒事件分析

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

TanStack多个软件包恶意软件投毒事件分析

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！