TanStack 最新版本被投毒，病毒会盗密钥和报复性删除用户目录

https://github.com/TanStack/router/issues/7383

涉及多个包和多个最近版本。注入脚本会扫描并窃取开发者电脑上的各类凭证，包括 AWS/GCP 密钥、Kubernetes token 、Vault token 、GitHub token 、SSH 密钥以及 ~/.npmrc 文件。

评论里有人提到撤销被盗 Token 还会导致病毒报复性删除用户目录：

撤销令牌时请务必小心。看起来该有效载荷在 ~/.local/bin/gh-token-monitor.sh 处安装了一个“死人开关”，并将其作为 systemd 用户服务 (Linux) / LaunchAgent com.user.gh-token-monitor (macOS) 运行。它每 60 秒使用被盗令牌轮询 api.github.com/user ，如果令牌被撤销 (HTTP 40x)，它就会执行 rm -rf ~/。(看起来它可能还有一堆持久化机制。我还没仔细研究这些。)

看来是挺严重的。