TanStack npm-aanval: 84 malware-pakketten in 6 minuten

Op 11 mei 2026 slaagde een aanvaller erin om in slechts zes minuten 84 schadelijke versies van officiële TanStack npm-pakketten te publiceren, aldus berichtgeving van The Register. De pakketten bevatten malware voor het stelen van inloggegevens, zelfverspreiding en het wissen van schijven. Elke ontwikkelaar of geautomatiseerde buildomgeving die die dag een standaard installatiecommando uitvoerde op een getroffen versie, wordt als gecompromitteerd beschouwd, aldus het beveiligingsadvies van GitHub.

Wat er is gebeurd, voor zover bekend

TanStack is een open source applicatiestack die ontwikkelaars gebruiken om websites en webapplicaties te bouwen. Volgens The Register, dat een postmortem van TanStack-oprichter Tanner Linsley aanhaalt, gebruikte de aanvaller een schadelijke commit op een fork van de TanStack-repository om een pull request te triggeren. Dit zorgde ervoor dat scripts automatisch werden uitgevoerd, waarmee malware werd gebouwd die de GitHub Actions-cache vergiftigde en een npm-publicatietoken uit het geheugen van de runner extraheerde.

De 84 schadelijke versies werden naar verluidt gepubliceerd tussen 19:20 en 19:26 UTC. De aanval werd binnen 30 minuten ontdekt, npm-deprecatie werd geactiveerd en GitHub publiceerde om 21:30 UTC een beveiligingsadvies, aldus The Register.

Geen van de TanStack-beheerders was gecompromitteerd, aldus dezelfde berichtgeving.

Waarom dit ook voor u relevant is, ook als u geen ontwikkelaar bent

Als uw website is gebouwd of onderhouden door een ontwikkelaar, of als uw bedrijf gebruikmaakt van een webapplicatie die afhankelijk is van externe codepakketten, kunnen aanvallen als deze u indirect raken. Een gecompromitteerde ontwikkelomgeving kan inloggegevens, configuratiebestanden en toegangssleutels blootstellen, wat op zijn beurt de systemen en websites kan treffen die zij namens u beheren.

Dit is een goed moment om uw ontwikkelaar of webbureau te vragen of zij hun buildomgevingen hebben gecontroleerd en eventuele inloggegevens hebben vernieuwd na recente supply chain-incidenten. U hoeft de technische details niet te begrijpen om die vraag te stellen.

Voor praktische stappen die u zelf kunt nemen om beveiligingsrisico's op uw eigen website te beperken, raadpleegt u onze beveiligingschecklist voor het mkb. Als uw site op WordPress draait, is het ook de moeite waard om onze gids over kwetsbare WordPress-plugins te bekijken, omdat verouderde of gecompromitteerde plugins een veelgebruikt toegangspunt voor aanvallers zijn.

Wat betekent dit voor uw website?

Als een ontwikkelaar of bureau uw website beheert, kunnen hun tools en buildprocessen worden getroffen door supply chain-aanvallen als deze, ook als uw eigen systemen nooit rechtstreeks het doelwit zijn. Het is redelijk om uw ontwikkelaar te vragen of zij hebben gecontroleerd op mogelijke blootstelling na recente npm-beveiligingsincidenten. Uw eigen websitesoftware, plugins en thema's up-to-date houden blijft een van de meest effectieve stappen die u zelf kunt nemen om risico's te beperken.