84 versions malveillantes de 42 packages @tanstack/* (dont react-router, 12M de téléchargements/semaine) ont été publiées sur npm pendant 20 minutes via une chaîne de vulnérabilités GitHub Actions (pull_request_target + cache poisoning + vol de token OIDC en mémoire). Le malware, un ver, volait les identifiants CI (GitHub, AWS, npm, etc.) et se propageait automatiquement aux autres packages des victimes (touchant aussi @mistralai, @uipath, …).
Pierre Houllière
Retour
Les paquets NPM de l'écosystème TanStack compromis
- Auteur : VIKAS
- Source : dev.to
- PDF : PHO_tanstack-compromised.pdf
- Bornage : Node.js
- Date : 13 mai 2026