Let's Data Science satte hendelsen til 8,3 i alvorlighet og rapporterer at angrepet bærer Shai-Hulud-signaturen: selv-replikerende kode som sniker seg inn i pakker når vedlikeholdere installerer kompromitterte avhengigheter. Bredden gjør saken alvorlig: TanStack dekker store deler av React-økosystemet (Query, Router, Table), og MistralAI-klientpakkene er installert i tusenvis av KI-prosjekter.
Forrige høst rammet originalen Shai-Hulud via post-install-skript som stjal npm-tokens fra utviklerens miljø, og brukte tokens til å publisere kompromitterte versjoner av andre pakker. Mini-varianten følger samme mønster ifølge tidlige analyser, og det betyr at kjeden strekker seg potensielt lenger enn de pakkene som så langt er bekreftet rammet.
Du er sannsynligvis eksponert hvis du har kjørt «npm install» på en TanStack- eller MistralAI-pakke siste 48 timer. Pin lockfile-en din og roter alle tokens hvis det er tilfellet.
Hva bør du gjøre?
- Kjør «npm audit» mot lockfile-en din og se etter pakkenavn med TanStack- eller Mistral-prefiks; oppgrader eller pin til kjent god versjon.
- Roter alle npm-tokens, GitHub PAT-er og hemmeligheter i .env-filer som CI-en din eksponerer ved bygg.
- Sett «ignore-scripts=true» i .npmrc for CI-bygg som ikke trenger native-kompilering; det stopper post-install-vektoren ved kilden.