https://tanstack.com/blog/npm-supply-chain-compromise-postmortem

2026年5月11日に発生したTanStackのnpmパッケージに対するサプライチェーン攻撃のポストモーテム。 pull_request_targetワークフローの設定不備、GitHub Actionsのキャッシュポイズニングを組み合わせた攻撃手法について。 フォークからのPRで実行されたコードがpnpmのキャッシュを汚染し、後のリリースワークフローで悪意のあるバイナリが復元された。 /proc/経由でランナープロセスのメモリからOIDCトークンを抽出してnpm publishに利用された。 対策としてpull_request_targetを使うワークフローの監査、サードパーティActionのコミットハッシュ固定などを挙げている。