情資內容

1. 建議會員確認是否使用受影響之@tanstack/*套件版本，並依據單位內漏洞管理機制進行相關作業。 2. 若尚無法確認已使用乾淨版本或排除受影響版本，官方建議採取下列暫時緩解措施： (1) 確認專案是否使用 @tanstack/* 套件，並將相關相依套件固定至 2026 年 5 月 11 日 19:00 UTC 前發布之已知安全版本，避免安裝受影響版本。 (2) 若曾於受影響期間安裝或更新相關套件，建議刪除node_modules與lockfile後重新安裝，並確認 transitive dependency 未解析至受影響版本。 (3) 可視環境可行性，於 CI/CD 或受控建置環境暫時設定 npm 安裝時略過 lifecycle scripts（npm config set ignore-scripts true），以降低安裝階段惡意程式碼執行風險；惟此措施可能影響部分套件正常安裝，應先評估相容性。 3. 曾於2026年5月11日19:20至19:30 UTC期間執行@tanstack/* 安裝作業之CI環境，建議視為已遭入侵並輪換相關憑證。 4. 建議會員可透過單位內設備觀察是否曾有對這些（可疑）IP、網域之連線紀錄，進行分析及風險評估（建議確認連線請求者是否為正常或合法的連線），並依照既有防護設備採取對應防護措施。建議會員可定期檢視入侵威脅指標之觸發情形，如長時間未觸發，則可評估移除或調整處理方式（例如由封鎖轉為監控）。另可依自身需求及不同類型入侵威脅指標之時效性差異評估檢視頻率，例如IP位址、網域名稱、URL及E-mail等通常變動較快，可每1至3個月重新檢視一次；而檔案雜湊值（Hash）等檔案特徵型指標相對穩定，通常不易因時間經過而改變其惡意特性，故可適度延長保留期限。