用心极其险恶！#TanStack# 供应链攻击中黑客预留死人开关，检测到开发者吊销令牌后执行 rm -rf ~/ 命令。相关恶意脚本位于~/.local/bin/ 目录，里面的检测脚本会每 60 秒查询 1 次窃取的 GitHub 令牌，如果令牌被撤销就会触发死人开关，从而执行 rm 命令删除开发者的所有文件：

吴说获悉，据网络安全公司 Socket 披露，5 月 11 日，开源工具库 TanStack 旗下 42 个 @ tanstack/* npm包（共计 84 个版本）遭黑客恶意篡改。相关版本被植入了窃取 CI / CD 凭证的恶意代码，目标涵盖 GitHub Actions、AWS、Kubernetes 等核心环境，官方建议受影响用户立即轮换相关凭证。Socket 指出，此次事件属于正在扩大的“Mini Shai-Hulud”供应链攻击的一部分，目前开源 AI 平台 Mistral AI、自动化软件 UiPath 等多个知名命名空间也已确认受到波及。