答案已發布3 週前Last edited 上週22 來源

Mini Shai‑Hulud 供應鏈攻擊：TanStack npm 事件點樣波及 170+ 套件

2026 年 5 月，攻擊者劫持 GitHub Actions 發布流程，將惡意版本發佈到超過 170 個 npm 同 PyPI 套件，包括 42 個 TanStack 套件。惡意程式「Mini Shai‑Hulud」會喺安裝依賴時執行，嘗試竊取 AWS、GitHub、npm、Kubernetes 等憑證並向其他套件擴散。

使用 Studio Global AI 搜尋並查核事實瀏覽更多熱門頁面

1.9M0

Illustration of a software supply chain attack affecting npm packages and developer pipelines — Inside the TanStack npm Supply‑Chain Attack: How the Mini Shai‑Hulud Worm Compromised 170+ PackagesThe Mini Shai‑Hulud campaign compromised trusted release pipelines to distribute malicious open‑source packages.
AI 提示
Create a landscape editorial hero image for this Studio Global article: Inside the TanStack npm Supply‑Chain Attack: How the Mini Shai‑Hulud Worm Compromised 170+ Packages. Article summary: In May 2026, attackers used a chained GitHub Actions exploit to hijack legitimate release pipelines and publish malicious versions of more than 170 npm and PyPI packages—including 42 TanStack libraries—spreading the M.... Topic tags: cybersecurity, software supply chain, npm, pypi, github actions. Reference image context from search candidates: Reference image 1: visual subject "# Mini Shai-Hulud: The NPM Supply Chain Worm Hitting TanStack, Mistral, UiPath, and More. ArmorCode Blog - Mini Shai-Hulud: The NPM Supply Chain Worm Hitting TanStack, Mistral, UiP" source context "Mini Shai-Hulud: The NPM Supply Chain Worm Hitting TanStack ..." Reference image 2: visual subject "# Mini Shai-Hulud: The NPM Sup
openai.com

現代軟件開發高度依賴 開源套件 同 CI/CD 自動化流程。但正正因為咁，攻擊者只要入侵其中一個環節，就有機會影響大量開發者。

2026 年 5 月，一個名為 Mini Shai‑Hulud 嘅供應鏈攻擊利用呢個弱點，成功入侵 超過 170 個 npm 同 PyPI 套件，波及多個知名開發者生態，包括 TanStack、UiPath、Mistral AI 同 OpenSearch。

同一般入侵唔同，今次攻擊並唔係偷取維護者帳號密碼，而係直接利用 GitHub Actions 自動發布流程嘅漏洞，透過官方渠道發佈惡意版本。

TanStack 套件被入侵

今次事件最受關注嘅目標之一係 TanStack——一套喺 React 同 JavaScript 社群非常常見嘅開源工具。

根據事後分析，2026 年 5 月 11 日 19:20 至 19:26（UTC）短短幾分鐘內，攻擊者成功喺 npm 發佈 84 個惡意版本，涉及 42 個 @tanstack/* 套件。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜尋並查核事實

人們還問