npm 生态遭大范围投毒:TanStack、Mistral AI、UiPath 等受波及,可窃取云 ...

IT之家5 月 12 日消息,网络安全检测机构 Socket 于当地时间 5 月 11 日发出警报,在开源工具库 TanStack 旗下约 84 个 NPM 软件包的恶意版本中发现疑似凭证窃取恶意代码。 受影响软件包覆盖 42 个 @tanstack/* 命名空间下的项目,其中 @tanstack / react-router 的周下载量超 1200 万次,此类工具包在 NPM 生态中被广泛直接或 ...
Security Boulevard

The TanStack Breach and the Fragility of Trusted Code

On May 11, 2026, several TanStack packages on npm were briefly replaced with malicious versions, raising fresh concerns about ...
腾讯网

TanStack Start 推出导入保护机制,强化服务器与客户端边界划分

TanStack Start 引入了 导入保护功能,这是一种基于 Vite 的机制,旨在防止仅限服务器的代码泄露到客户端包中,以及仅限客户端的代码泄露到服务器包中。该功能于 2026 年 2 月在 X 上 发布,目前仍标记为实验性功能,在所有新的 TanStack Start 项目中会默认启用。