TanStack NPM-пакеты скомпрометированы

Кто-то решил, что open-source — это шведский стол, и наложил вредоносного кода в TanStack-пакеты.

Помните то чувство, когда вы запускаете npm install и надеетесь, что ничего не взорвётся? В этот раз надежда не оправдалась: несколько пакетов TanStack (включая TanStack Router) были скомпрометированы.

Судя по issue на GitHub, злоумышленники получили доступ к NPM-учёткам и опубликовали вредоносные версии пакетов. Как это обычно бывает, пользователи заметили неладное, когда их сборки начали вести себя подозрительно — словно CI/CD пайплайн решил устроить вечеринку без вашего ведома.

Что произошло?

Скомпрометированы учётные записи NPM, связанные с TanStack.
Опубликованы версии пакетов с вредоносным кодом.
Пользователям рекомендуется проверить версии установленных пакетов и обновиться до последних безопасных.

Разработчики TanStack уже работают над восстановлением контроля, но осадочек, как говорится, остался. Это напоминает историю с event-stream, только в этот раз под удар попал популярный роутер.

Комментарий студии METABYTE: Ещё один повод вспомнить, что supply chain атаки — это не только про кофе в офисе, но и про npm install. Всегда проверяйте хеши и используйте lock-файлы, иначе ваш проект может стать частью чужого майнинга.