TanStack

TanStack 于 2026 年 5 月 11 日遭遇 npm 供应链攻击，攻击者利用 GitHub Actions 缓存投毒和 OIDC 令牌提取，在 42 个包中发布了 84 个恶意版本。

TanStack 多个 npm 包的最新版本被植入恶意代码，攻击者通过窃取的开发者凭证发布污染包，建议立即排查依赖并撤销旧 token。

npm 生态遭大规模供应链攻击，超 160 个包受影响，攻击者通过 GitHub Actions 漏洞利用 OIDC 令牌实现合法发布，窃取云密钥与 GitHub 令牌。

攻击者通过伪造 PR 提交恶意代码，污染 pnpm 缓存并在数分钟内发布 84 个恶意 npm 版本，影响 42 个包。

NPM注册表被单个PR攻击，导致100+包被污染，影响超500万次/周下载。

HackerNews 2026年5月13日的热门话题涵盖了供应链攻击、开源信任危机、AI对编程语言的影响、软件架构实践、欧盟未成年人保护法规、医疗研究进展及技术展示等内容，提供了多维度的技术洞察。

Lovable 将其应用重构为服务端渲染（SSR），提升在 Google、ChatGPT 和 Perplexity 等搜索引擎和 AI 答案引擎中的默认可发现性，底层技术栈迁移至 TanStack Start，因其生态完善、类型安全强且支持任意部署。

TanStack披露了一次复杂的npm供应链攻击事件，42个软件包被入侵，攻击者通过劫持维护者账户和利用npm发布流程进行恶意代码注入，这是2026年针对JavaScript生态系统的重大安全事件。

Viking 推荐使用 pnpm、npm 或 bun 的包版本冷却机制来防御 npm 供应链攻击，强制新发布的包必须经过一定时间才能被安装，从而避开攻击窗口。

Lovable 将其应用重构为服务端渲染，提升在 Google 和 AI 搜索引擎（如 ChatGPT、Perplexity）中的可发现性，底层采用 TanStack Start 构建，因其维护活跃且社区支持良好。

Replit 用户因包管理器默认安全配置未受 Tanstack 供应链攻击影响，官方确认受影响人数为零，凸显了平台预设安全策略的重要性。

JavaScript 中文周刊 #236 报道了 TanStack npm 被攻击和 Rolldown 1.0 发布等事件，但内容多为新闻报道，缺乏深度分析和实用建议。

OpenAI 对 TanStack npm 供应链攻击进行了回应，强调了安全措施的重要性。