npm 出现了新攻击方式：TanStack Router 官方 npm 包被植入恶意代码。攻击者入侵了项目发布流程，上传了带后门的官方版本。这些包会窃取开发者电脑里的各种密钥，并尝试继续感染开发者拥有权限的其他 GitHub 仓库，再借 npm 进一步传播。 令人绝望的是：它绕过了现代 npm 生态最核心的一整套“信任链”： 发布者是真的 官方账号是真的 CI 是真的 provenance 是真的 npm 签名也是真的 但发布出去的代码，是恶意的。 另外，有安全研究员认为，这是 npm 历史上第一次出现…