npm 曝大规模供应链攻击：TanStack 生态被投毒，可窃取云密钥与 GitHub 令牌

热门前端开发库 TanStack 生态（包括 Router、History 等核心包）近日确认遭受严重供应链攻击。攻击者通过入侵 GitHub Actions 工作流，在多个官方 npm 包中植入了名为 “mini-shai-hulud” 的恶意蠕虫。

安全专家与 TanStack 团队调查确认，受影响的 npm 包版本被植入了高度混淆的恶意脚本。该恶意代码具备极强破坏性，主要行为包括：

• 全面凭证窃取：扫描本地环境，窃取 AWS、GCP 凭证、Kubernetes 令牌、SSH 密钥、GitHub 访问令牌以及 ~/.npmrc 文件等敏感信息；
• 蠕虫式自我传播：利用窃取的权限，自动寻找受害者拥有维护权的其他 npm 项目，注入恶意代码后重新发布，形成链式感染；
• 报复性自毁机制：在 Linux 和 macOS 系统上安装持久化守护进程，持续监控窃取的 GitHub 令牌有效性。一旦开发者撤销令牌，该脚本将立即执行 rm -rf ~/ 命令，清空用户 / 目录。

受影响包及版本包括：

@tanstack/history 1.161.9 至 1.161.12
@tanstack/react-router 1.169.5 至 1.169.8
以及 Router 系列的其他相关插件和工具包

如果您在过去 24 小时内更新或安装过上述包，请务必立即提高警惕，并采取相应补救措施。

参考： https://github.com/TanStack/router/issues/7383