TanStack Supply Chain Aanval: 84 kwaadaardige versies npm

Een supply-chain aanval op de TanStack JavaScript-bibliotheek heeft er volgens heise Security toe geleid dat 84 kwaadaardige versies van 42 pakketten zijn gepubliceerd in het npm-pakketregister. Het incident werd ontdekt op 11 mei 2026. De gecompromitteerde versies bevatten malware die gericht was op het stelen van gevoelige ontwikkelaarsinloggegevens.

Wat is er gebeurd?

Volgens heise Security zijn kwaadwillenden erin geslaagd credential-stelende code te injecteren in 84 versies van 42 pakketten in de @tanstack/* collectie op npm. De malware was er naar verluidt op gericht om AWS Instance Metadata Service (IMDS)-inloggegevens, GitHub-tokens en privé SSH-sleutels te onderscheppen.

De gecompromitteerde pakketversies zijn inmiddels als verouderd gemarkeerd. Het is nog niet duidelijk hoeveel ontwikkelaars de getroffen versies hebben geïnstalleerd voordat ze werden verwijderd, en de identiteit van de verantwoordelijken is niet bevestigd.

Wie wordt er getroffen?

Ontwikkelaars die @tanstack/* pakketten gebruiken in hun projecten en die een van de 84 getroffen versies hebben geïnstalleerd, lopen mogelijk het risico dat hun inloggegevens zijn blootgesteld. Volgens heise Security wordt getroffen ontwikkelaars geadviseerd om onmiddellijk alle geheimen te vernieuwen, waaronder npm-tokens, GitHub personal access tokens en OIDC-trusts, AWS-inloggegevens, Vault-tokens en Kubernetes service account tokens.

Als u een ontwikkelaar bent of samenwerkt met een ontwikkelaar die websites bouwt of onderhoudt met TanStack-pakketten, is het de moeite waard om te controleren welke versies in gebruik zijn.

Waarom is dit relevant voor kleine ondernemingen?

Veel websites van kleine ondernemingen worden gebouwd en onderhouden met JavaScript-frameworks en -tools. Misschien beheert u zelf geen npm-pakketten, maar uw webontwikkelaar of bureau mogelijk wel. Een gecompromitteerde ontwikkelomgeving kan betekenen dat inloggegevens voor uw hosting, clouddiensten of coderepositories gevaar lopen.

Dit is een goed moment om uw ontwikkelaar te vragen of zij TanStack-pakketten gebruiken en of zij hebben gecontroleerd op de getroffen versies. U kunt hen ook wijzen op onze beveiligingschecklist voor kleine ondernemingen en onze gids over kwetsbare plugins en afhankelijkheden.

Wat betekent dit voor uw website?

Als uw website is gebouwd of wordt onderhouden door een ontwikkelaar die @tanstack/* pakketten gebruikt, vraag hen dan te bevestigen dat zij de getroffen versies uit de GitHub Security Advisory hebben gecontroleerd. Supply-chain aanvallen zoals deze richten zich op ontwikkelaars in plaats van direct op eindgebruikers, maar de gevolgen kunnen uw website bereiken als de inloggegevens van een ontwikkelaar worden gecompromitteerd. Een open communicatielijn met uw webontwikkelaar over beveiligingsincidenten is een eenvoudige maar effectieve stap.

Bron: heise Security