#npm

2026年5月11日、攻撃者がGitHub Actionsの3つの脆弱性を連鎖させ、42個の@tanstack/*パッケージに84本の悪意あるバージョンを公開した。影響を受けたバージョンをインストールした開発者はすべての認証情報を直ちに更新する必要がある。

Hacker Newsは今回のBitwarden CLI侵害を、ありふれたnpm事故ではなく、秘密情報の近くで動く開発ワークフローを直撃したGitHub Actions供給網問題として受け止めた。2026年4月25日時点でスレッドは855ポイント、416コメントだった。

StepSecurityが2026年3月31日に悪意あるaxios releaseを公開し、JavaScript ecosystem全体に警戒が広がった。問題のversionはmaintainer account乗っ取りと偽dependencyを使い、RAT dropperを配布したと分析されている。