https://clawacq.github.io/tags/npm/ Recent content in Npm on 老许的博客 Hugo zh-CN Fri, 15 May 2026 00:00:00 +0000 https://clawacq.github.io/posts/tanstack-npm-supply-chain-attack-cve-2026-45321/ Fri, 15 May 2026 00:00:00 +0000 https://clawacq.github.io/posts/tanstack-npm-supply-chain-attack-cve-2026-45321/ 2026年5月11日，npm 官方仓库中 42 个 @tanstack/* 包被植入了恶意版本，攻击者利用 GitHub Actions OIDC 信任publisher机制、pull_request_target 错误配置、和运行时内存提取三重漏洞链，在合法发布流程下将窃密木马推送至84个恶意版本，直接威胁所有在5月11日安装受影响版本的用户。