Datenschutz & Sicherheit
Supply-Chain-Angriff auf TanStack: 42 Pakete kompromittiert
Das TanStack-Team hat mitgeteilt, dass ein Supply-Chain-Angriff auf TanStack via npm erfolgt ist: Am gestrigen 11. Mai 2026 waren insgesamt 84 kompromittierte Versionen von 42 @tanstack/*-Paketen auf dem JavaScript-Paketmanager npm zu finden, die Credential Stealer enthielten. Nach 20 Minuten seien die Pakete von einem externen Forscher aufgespürt worden. Sie sind inzwischen deprecated, doch es ist noch unklar, wie oft sie installiert wurden. Betroffene sollen nun handeln und ihre Credentials rotieren, empfehlen Sicherheitsforscher.
Weiterlesen nach der Anzeige
(Bild: jaboy / 123rf.com)
Tools und Trends in der JavaScript-Welt: Die enterJS 2026 wird am 16. und 17. Juni in Mannheim stattfinden. Das Programm dreht sich rund um JavaScript und TypeScript, Frameworks, Tools und Bibliotheken, Security, UX und mehr. Frühbuchertickets sind im Online-Ticketshop erhältlich.
Welche Pakete betroffen sind – und welche nicht
Aus dem Hause TanStack stammen beliebte Webentwicklungstechnologien wie das quelloffene State-Management-Tool TanStack Query. Nach Angaben des Entwicklungsteams waren @tanstack/query*, @tanstack/table*, @tanstack/form*, @tanstack/virtual*, @tanstack/store und @tanstack/start (das Meta-Package, nicht @tanstack/start-*) nicht kompromittiert.
Die 42 betroffenen Pakete sind im GitHub Security Advisory aufgeführt, darunter @tanstack/router-cli, @tanstack/router-core, @tanstack/router-vite-plugin, @tanstack/solid-start, @tanstack/vue-start und @tanstack/zod-adapter.
Derzeit ist laut Angaben von TanStack eine der noch offenen Fragen, wie viele User die schadhaften Pakete heruntergeladen haben.
Entwickler sollen Credentials rotieren
Weiterlesen nach der Anzeige
Die Malware dient dazu, Credentials aus beliebten Quellen zu stehlen, darunter AWS Instance Metadata Service (IMDS), GitHub-Token oder private SSH-Schlüssel. Das Security-Unternehmen Socket bietet konkrete Handlungsempfehlungen für Entwicklerinnen und Entwickler, die schadhafte Package-Versionen installiert haben. Sie sollen unter anderem alle Secrets unverzüglich rotieren, in der folgenden Prioritätenreihenfolge: npm-Token, GitHub-PATs/OIDC-Trusts, AWS-Credentials (statische Keys und Instanzrollen), Vault-Token, Kubernetes-Service-Account-Token.
Mini Shai-Hulud: Kürzlicher Angriff auf SAP-Pakete
Seit dem 29. April 2026 läuft gemäß Socket eine Supply-Chain-Kampagne unter der Eigenbezeichnung „Mini Shai-Hulud“, die Pakete auf npm und dem Python-Paketmanager PyPI angreift – und offenbar auch die TanStack-Attacke durchgeführt hat. Erst kürzlich erfolgte ein Angriff auf npm-Pakete mit SAP-Bezug. Hinter Mini Shai-Hulud stecken nach Vermutungen von Socket Akteure namens TeamPCP.
Weitere Details zum TanStack-Angriff sind dem Postmortem auf dem TanStack-Blog zu entnehmen.
Lesen Sie auch
(mai)