4月末ごろからnpmパッケージを標的にした
Update 5:05 PT: The attack has now expanded well beyond @TanStack and @Mistral.
— Aikido Security (@AikidoSecurity) May 12, 2026
373 malicious package-version entries across 169 npm package names, including @uipath, @squawk, @tallyui, @beproduct, and more.
The malware propagates by stealing your CI credentials and using them… https://t. co/ wVOg5BCeP1
このマルウェアはビルドシステム内で実行され、npmやGitHubへのアクセス権を盗み出し、信頼された公開経路を悪用して新たに改ざんされたパッケージをプッシュする。盗み出した開発者のCI/
最も大きな被害を受けているのがTanStackで、パッケージは非推奨化され、npmセキュリティが対応中で、公開が遮断されている状態となっている。
SECURITY ADVISORY — TanStack npm packages
— TANSTACK (@tan_stack) May 11, 2026
A supply-chain compromise affecting 42 @tanstack/* packages (84 versions total) was published to npm earlier today at approximately 19:20 and 19:26 UTC. Two malicious versions per package.
Status: ACTIVE — packages are deprecated, npm…