Attaque npm TanStack : 84 versions malveillantes compromises

Une attaque sur la chaîne d'approvisionnement visant la collection de bibliothèques JavaScript TanStack aurait entraîné la publication de 84 versions malveillantes de 42 paquets sur le registre npm, selon heise Security. L'incident a été découvert le 11 mai 2026. Les versions compromises contenaient un logiciel malveillant conçu pour dérober des identifiants sensibles de développeurs.

Que s'est-il passé ?

Selon heise Security, des acteurs malveillants ont réussi à injecter du code voleur d'identifiants dans 84 versions de 42 paquets de la collection @tanstack/* sur npm. Le logiciel malveillant aurait été conçu pour cibler les identifiants du service de métadonnées d'instance AWS (IMDS), les jetons GitHub et les clés SSH privées.

Les versions compromises ont depuis été dépréciées. On ne sait pas encore combien de développeurs ont installé les versions concernées avant leur retrait, et l'identité des responsables n'a pas été confirmée.

Qui est concerné ?

Les développeurs qui utilisent des paquets @tanstack/* dans leurs projets et qui ont installé l'une des 84 versions affectées sont susceptibles d'avoir vu leurs identifiants exposés. Selon heise Security, les développeurs concernés sont invités à faire pivoter immédiatement tous leurs secrets, notamment les jetons npm, les jetons d'accès personnels GitHub et les approbations OIDC, les identifiants AWS, les jetons Vault et les jetons de compte de service Kubernetes.

Si vous êtes développeur ou si vous travaillez avec un développeur qui crée ou maintient des sites web à l'aide de paquets TanStack, il vaut la peine de vérifier quelles versions sont utilisées.

Pourquoi cela concerne-t-il les petites entreprises ?

De nombreux sites web de petites entreprises sont construits et maintenus à l'aide de frameworks et d'outils JavaScript. Même si vous ne gérez pas vous-même des paquets npm, votre développeur web ou votre agence le fait peut-être. Un environnement de développement compromis peut signifier que les identifiants utilisés pour accéder à votre hébergement, à vos services cloud ou à vos dépôts de code sont potentiellement en danger.

C'est le bon moment pour demander à votre développeur s'il utilise des paquets TanStack et s'il a vérifié la présence des versions affectées. Vous pouvez également lui transmettre notre liste de contrôle de sécurité pour les petites entreprises ainsi que notre guide sur les plugins et dépendances vulnérables.

Que signifie cela pour votre site web ?

Si votre site web a été créé ou est maintenu par un développeur utilisant des paquets @tanstack/*, demandez-lui de confirmer qu'il a vérifié les versions affectées listées dans l'avis de sécurité GitHub. Les attaques sur la chaîne d'approvisionnement comme celle-ci ciblent les développeurs plutôt que les utilisateurs finaux directement, mais les répercussions peuvent atteindre votre site web si les identifiants du développeur sont compromis. Maintenir un dialogue ouvert avec votre développeur web sur les incidents de sécurité est une démarche simple mais efficace.

Source : heise Security