5月11日，网络安全机构Socket通报，TanStack等开源组织旗下超160个NPM软件包被植入恶意版本，含@tanstack/react-router等高下载量包。攻击者利用GitHub Actions三重漏洞组合，通过伪造OIDC发布权限向NPM注册表推送恶意包。被篡改包内含混淆的router_init.js及恶意prepare钩子，安装时自动窃取AWS、GCP、Kubernetes、Vault等凭据，并加密外传。所有恶意版本已被弃用并下架。官方敦促开发者立即轮换密钥、审查本地文件及Git提交记录。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。