이번 TanStack npm 공격은 비밀번호 유출 사건이 아닙니다. 정상 GitHub Actions 릴리스 파이프라인이 공격자의 배포 도구가 됐고, 악성 패키지는 npm trusted publishing 경로를 통과했습니다. 그래서 지금 봐야 할 것은 뉴스가 아니라 내 저장소의 PR workflow, cache, OIDC 권한, 설치 정책입니다.2026년 5월 11일, TanStack의 @tanstack/* npm 패키지 일부가 악성 버전으로 배포됐습니다. TanStack 공식 포스트모템에 따르면 42개 패키지에서 84개 악성 버전이 공개됐고, 문제의 배포는 몇 분 안에 일어났습니다.무서운 부분은 규모보다 방식입니다. 누군가 maintainer의 npm 비밀번호를 훔친 것도 아니고, 오래 살아 있는 np..