Postmortem: Compromisso da cadeia de suprimentos npm do TanStack

Em 11 de maio, um atacante explorou workflow pull_request_target, envenenamento de cache do GitHub Actions e roubo de token OIDC da memória do runner para publicar 84 versões maliciosas de 42 pacotes npm @tanstack/*. O payload executado durante a instalação coletou credenciais de cloud, Kubernetes, Vault, npm, GitHub e SSH, exfiltrando-as pela rede Session/Oxen e tentando republicar outros pacotes da vítima. A detecção ocorreu por pesquisadores externos em cerca de 20 minutos, resultando na depreciação de todas as versões maliciosas, limpeza de caches e endurecimento dos workflows.