【最新更新版・2026年5月13日 11:00 JST時点】TanStack「Mini Shai-Hulud」npm/PyPIサプライチェーン攻撃 完全時系列まとめ 事件概要（公式最新情報）TeamPCPによるMini Shai-Huludキャンペーン第二波が5月11日にTanStack公式パッケージを大規模侵害。 GitHub ActionsのCache Poisoning + pull_request_target悪用でSLSA Build Level 3の正当署名付き悪意バージョンを公開し、Worm型マルウェアがnpm→PyPIへ自己増殖中です。 TanStack公式が昨日（5/12）にフォローアップブログ「Hardening TanStack After the npm Compromise」を公開。 前日のpostmortemに続き、攻撃後の大幅ハードニング策を詳細に発表しました