Attaque npm TanStack : 84 versions malveillantes publiées

Le 11 mai 2026, un attaquant a réussi à publier 84 versions malveillantes de packages npm officiels TanStack en l'espace de six minutes seulement, selon un article de The Register. Ces packages contenaient des logiciels malveillants capables de voler des identifiants, de se propager automatiquement et d'effacer des données sur disque. Tout développeur ou environnement de compilation automatisé ayant exécuté une commande d'installation standard contre une version affectée ce jour-là est considéré comme compromis, selon l'avis de sécurité de GitHub.

Ce qui s'est passé, selon les informations disponibles

TanStack est une suite applicative open source utilisée par les développeurs pour créer des sites web et des applications web. Selon The Register, qui cite un compte rendu post-incident rédigé par Tanner Linsley, le fondateur de TanStack, l'attaquant a utilisé un commit malveillant sur un fork du dépôt TanStack pour déclencher une pull request. Cela a provoqué l'exécution automatique de scripts, permettant de construire un logiciel malveillant qui a empoisonné le cache GitHub Actions et extrait un jeton de publication npm depuis la mémoire du runner.

Les 84 versions malveillantes auraient été publiées entre 19h20 et 19h26 UTC. L'attaque a été détectée en moins de 30 minutes, la dépréciation npm a été déclenchée, et GitHub a publié un avis de sécurité à 21h30 UTC, selon The Register.

Aucun des mainteneurs de TanStack n'a été compromis, selon les mêmes sources.

Pourquoi cela vous concerne, même si vous n'êtes pas développeur

Si votre site web a été créé ou est maintenu par un développeur, ou si votre entreprise utilise une application web reposant sur des packages de code tiers, des attaques de ce type peuvent vous affecter indirectement. Un environnement de développement compromis peut exposer des identifiants, des fichiers de configuration et des clés d'accès, ce qui pourrait à son tour affecter les systèmes et les sites web gérés en votre nom.

C'est le bon moment pour demander à votre développeur ou à votre agence web s'ils ont vérifié leurs environnements de compilation et renouvelé leurs identifiants à la suite des récents incidents liés à la chaîne d'approvisionnement logicielle. Il n'est pas nécessaire de maîtriser les aspects techniques pour poser cette question.

Pour des mesures concrètes permettant de réduire les risques de sécurité sur votre propre site, consultez notre liste de contrôle sécurité pour les petites entreprises. Si votre site fonctionne sous WordPress, il vaut également la peine de consulter notre guide sur les plugins WordPress vulnérables, car les plugins obsolètes ou compromis constituent un point d'entrée courant pour les attaquants.

Ce que cela signifie pour votre site web

Si un développeur ou une agence gère votre site web, leurs outils et leurs processus de compilation peuvent être affectés par des attaques visant la chaîne d'approvisionnement logicielle, même si vos propres systèmes ne sont jamais directement ciblés. Il est tout à fait légitime de demander à votre développeur s'il a vérifié toute exposition potentielle à la suite des récents incidents de sécurité liés à npm. Maintenir à jour les logiciels, plugins et thèmes de votre site reste l'une des mesures les plus efficaces que vous puissiez prendre pour réduire les risques de votre côté.