The Worm in the Registry

Ein sechsminütiger Angriff kompromittierte das Vertrauensmodell der modernen JavaScript-Entwicklung, indem 84 bösartige Paketversionen über 42 @tanstack-Pakete durch eine legitime Release-Pipeline verteilt wurden. Der „Wurm“ verbreitete sich auf über 170 Pakete bei npm und PyPI, betraf über 518 Millionen kumulative Downloads und zielte auf den Diebstahl von Zugangsdaten ab.