このイカレた時代へようこそ
pull_request_targetとキャッシュ汚染のコンボは怖すぎる。OIDCトークンまで抜かれるとか対策の難易度高すぎだろ
2026-05-11、@tanstack/*でpull_request_target+cache毒+OIDC奪取により84件の悪性版が42パッケージに公開された経緯を解説する事後報告。
TanStack に対する npm サプライチェーン攻撃に関するポストモーテム。脆弱性を三つ組み合わせて信頼境界を越えている。GHA のキャッシュポイズニングやメモリ抽出技法を連鎖させて最終的に OIDC トークンを取得している。
Postmortem: TanStack npm supply-chain compromise | TanStack Blog
このイカレた時代へようこそ
pull_request_targetとキャッシュ汚染のコンボは怖すぎる。OIDCトークンまで抜かれるとか対策の難易度高すぎだろ
2026-05-11、@tanstack/*でpull_request_target+cache毒+OIDC奪取により84件の悪性版が42パッケージに公開された経緯を解説する事後報告。
TanStack に対する npm サプライチェーン攻撃に関するポストモーテム。脆弱性を三つ組み合わせて信頼境界を越えている。GHA のキャッシュポイズニングやメモリ抽出技法を連鎖させて最終的に OIDC トークンを取得している。