Mantine DataTable source repo compromised; owner account suspended

Mantine DataTable 的 GitHub Discussion #813 是一則開源供應鏈安全事件公告。公告由維護者 Ionut 的妻子 Irinel-Ramona 代為發出，原因是 Ionut 的 GitHub 帳號遭停權，無法自行通知社群或回復 repository。事件發生後，攻擊者透過 github-actions bot 對 Mantine DataTable 與另外數個 repository 推送未授權提交，提交訊息偽裝成「chore: update dependencies [skip ci]」，看起來像一般依賴更新，但實際上會加入 `.github/setup.js` 這類 payload runner，並把觸發點放進多個開發工具設定檔。受影響路徑包含 `.claude/settings.json`、`.gemini/settings.json`、`.cursor/rules/setup.mdc`、`.vscode/tasks.json`，以及被劫持的 `package.json` test script。也就是說，近期 clone 或 pull 原始碼的人，如果用 VS Code、Cursor、Claude Code、Gemini 開啟專案，或執行 `npm test`，就可能觸發惡意程式。公告特別強調，已發布到 npm 的 `mantine-datatable` 與 `mantine-contextmenu` 套件並未被植入惡意版本；一般透過 npm 安裝使用者不受影響，主要風險限於直接操作 source repository 的開發者。後續 6 月 6 日更新修正了最初對攻擊來源的猜測：原先懷疑與 2026 年 5 月 TeamPCP 對 GitHub 內部 repository 的事件有關，但留言者指出該事件範圍較可能限於 GitHub 自有 repository。更新改稱證據更指向被竊憑證，且 TanStack 供應鏈事件是可能候選。公告也指出，研究者將此 worm 追蹤為 Miasma，屬於 Shai-Hulud family，SafeDep 等單位分析該 repo 的提交後認為 payload 與 Miasma 相符。對開發者而言，這起事件的重點不是「不要用 Mantine DataTable」，而是要避免開啟近期 clone 的可疑原始碼、刪除相關設定檔與 `.github/setup.js`、檢查 fork，並意識到 AI coding assistant 與編輯器自動化設定已成為供應鏈攻擊的新觸發面。