TanStack npmサプライチェーン攻撃: 6分間に84の悪意あるバージョンが公開

何が起きたか

2026年5月11日19:20-19:26 UTC、わずか6分間で攻撃者が42個の@tanstack/* npmパッケージに84本の悪意あるバージョンを公開した。npmトークンは盗まれず、攻撃ベクターはGitHub Actionsだった。外部研究者が20分以内に検出し、影響を受けたバージョンはすべてdeprecated処理された。

攻撃の連鎖

攻撃者は3つのGitHub Actionsの脆弱性を組み合わせた: (1) pull_request_targetを悪用したPwn Requestパターン、(2) フォーク・ベース間のキャッシュポイズニング、(3) ActionsランナープロセスメモリからのリアルタイムOIDCトークン抽出。

マルウェアの動作

影響を受けたバージョンをインストールすると、prepareライフサイクルフックから約2.3MBの難読化スクリプトが実行される。AWS IMDS/Secrets Manager、GCPメタデータ、Kubernetes、Vault、~/.npmrc、GitHubトークン、SSH秘密鍵を収集し、Session/OxenネットワークでE2E暗号化して送信する。

安全なパッケージ

@tanstack/query*、@tanstack/table*、@tanstack/form*、@tanstack/virtual*、@tanstack/store、@tanstack/startは影響を受けていない。

直ちに対処すること

2026年5月11日に影響を受けたバージョンをインストールした場合、AWS・GCP・Kubernetes・Vault・GitHub・npm・SSHの認証情報を直ちに更新すること。GitHub Security Advisory: GHSA-g7cv-rxg3-hmpx。