#TanStack

TanStack の npm 42 パッケージが改竄、Mini Shai-Hulud ワーム再燃 ⇒ GitHub Actions の OIDC を窃取

TanStack は 5 月 11 日 19:20 UTC ごろから 6 分間にわたり @tanstack/* 42 パッケージ 84 版が改竄され配布されたと公表しました。攻撃者は pull_request_target 経由で Actions キャッシュを汚染し、ランナー上の Worker プロセスから OIDC トークンをメモリ抽出して正規の SLSA 出所付きでマルウェアを公開。週ダウンロード 1,200 万を超える @tanstack/react-router を含む広範な依存に影響します。