Schon wieder Supply Chain Attack, diesmal TanStack

⚠️ Kurzer Security-Hinweis: Aktuell gibt es eine größere Supply-Chain-Attacke im JS/npm-Ökosystem, u. a. rund um TanStack-Pakete.

Zum Nachlesen:

TanStack GitHub Issue:

https://github.com/TanStack/router/issues/7383

Snyk-Analyse:

https://snyk.io/blog/tanstack-npm-packages-compromised/

Heise-Meldung:

https://www.heise.de/en/news/Supply-chain-attack-on-TanStack-42-packages-compromised-11291014.html

pnpm Security-Hinweise zu Supply-Chain-Angriffen, postinstall scripts und minReleaseAge:

https://pnpm.io/supply-chain-security

Meine Empfehlung gerade:

Installiert nicht blind neue Dependencies oder Updates, vor allem nicht in wichtigen Projekten oder auf Maschinen mit sensiblen Tokens.

Zwei schnelle Schutzmaßnahmen:

bash # .npmrc ignore-scripts=true min-release-age=7d

ignore-scripts=true verhindert, dass Install-Scripts wie postinstall automatisch laufen.

min-release-age sorgt dafür, dass ganz frisch veröffentlichte Pakete nicht sofort installiert werden. Genau diese ersten Stunden/Tage sind bei Supply-Chain-Angriffen oft kritisch.

Hinweis: Python/PyPI ist ebenfalls betroffen bzw. grundsätzlich anfällig für ähnliche Supply-Chain-Probleme. Siehe z. B. die Safedep-Analyse zur aktuellen Welle:

https://safedep.io/mass-npm-supply-chain-attack-tanstack-mistral

Gerade gilt also: lieber kurz abwarten, Lockfiles prüfen und keine unnötigen neuen Packages installieren.

Kurze Zusammenfassung hier noch.

4 comments

Web Dev & AI

skool.com/web-dev-1x1-de-3340

JS/TS, React/Astro/Alpine, freie & Premium-Kurse, Diskussionen und News zu Webentwicklung & Künstlicher Intelligenz (Cursor, OpenAI, Prompt API).

KubeCraft Career Accelerator

AI for Beginners

Clief Notes

GenX Creator Lab

Bring people together around your passion and get paid.