TanStack이 npm 보안 침해에 대한 포스트모템을 발표하여 프로젝트가 변경해야 할 점을 제시합니다.
TanStack은 2026년 5월 11일 발생한 npm 침해 사건에 대한 포스트모템을 발표했습니다. 이 공격자는 42개의 패키지에서 84개의 악성 버전을 배포하여 생태계의 공급망 신뢰에 중요한 변화를 초래했습니다. 포스트모템은 공격 경로와 사건의 독특한 점을 설명하며, 모든 프로젝트가 따라야 할 체크리스트를 제공합니다. 특히, 유효한 SLSA 출처를 갖춘 첫 번째 악성 npm 패키지로서 주목받고 있습니다.
TanStack released a postmortem on the npm compromise, detailing necessary changes for projects.
TanStack published a postmortem regarding an npm compromise that occurred on May 11, 2026. An attacker published 84 malicious versions across 42 packages, impacting the ecosystem's supply chain trust. The postmortem walks through the attack chain, highlights its unique aspects, and provides a checklist for project improvements. Notably, this incident marks the first documented malicious npm package with valid SLSA provenance.