# News Mai 2026, TypeScript 7 en beta, faux package TanStack et agent Cursor destructeur

> Nous évoquons TypeScript 7 qui débarque en beta, NPMX et son indicateur « You might not need this dependency », un agent Cursor qui détruit une base de prod en neuf secondes, le faux package TanStack qui volait les fichiers .env, Laravel qui glisse des publicités dans le contexte des agents IA, et quelques outils comme React Email 6, Starship ou Patterns.dev.

## NPMX Dev

Déjà évoqué dans un autre épisode mais il intègre un nouvel indicateur

**You might not need this dependency.**

[https://npmx.dev/search?q=date](https://npmx.dev/search?q=date)

## Patterns

Bonne pratique en structure de code et des skills !

[https://www.patterns.dev](https://www.patterns.dev/)

## StarShip

Un jolie terminal simplement !

[https://starship.rs](https://starship.rs/)

## React Email 6

Des templates et un éditeur !

[https://resend.com/blog/react-email-6](https://resend.com/blog/react-email-6)

## TypeScript 7 Beta

[https://devblogs.microsoft.com/typescript/announcing-typescript-7-0-beta](https://devblogs.microsoft.com/typescript/announcing-typescript-7-0-beta)

## Un agent cursor détruit les DB d’une startup

[https://korben.info/un-agent-efface-la-base-de-prod-de-pocketos-en-neuf-secondes.html](https://korben.info/un-agent-efface-la-base-de-prod-de-pocketos-en-neuf-secondes.html)

## Faux package TanStack

Le **29 avril 2026**, un attaquant a publié **quatre versions malveillantes** (2.0.4 à 2.0.7) du package npm **tanstack** (non lié à l’organisation officielle **@tanstack**, connue pour des bibliothèques comme TanStack Query, TanStack Table, etc.). Ces versions contenaient un **script postinstall** conçu pour **exfiltrer les fichiers .env** (et autres fichiers sensibles) vers un endpoint contrôlé par l’attaquant via **Svix**, un service légitime de webhooks.

[https://www.aikido.dev/blog/fake-tanstack-packages-steal-env-files](https://www.aikido.dev/blog/fake-tanstack-packages-steal-env-files)

## AI style design

[https://guess-the-designer.replit.app](https://guess-the-designer.replit.app/)

## UI.sh

[UI.sh](http://UI.sh) ?

Est-ce que ça vaut le coup ou pas ?

120$ year

[https://impeccable.style](https://impeccable.style/)

## Open Design

[https://github.com/nexu-io/open-design/](https://github.com/nexu-io/open-design/)

## Laravel abuse !

[https://php.developpez.com/actu/382285/Laravel-injecte-desormais-des-publicites-directement-dans-le-contexte-de-votre-agent-IA-pour-orienter-les-developpeurs-vers-son-offre-cloud-commerciale-apres-avoir-leve-57-millions-de-dollars-en-capital-risque/](https://php.developpez.com/actu/382285/Laravel-injecte-desormais-des-publicites-directement-dans-le-contexte-de-votre-agent-IA-pour-orienter-les-developpeurs-vers-son-offre-cloud-commerciale-apres-avoir-leve-57-millions-de-dollars-en-capital-risque/)

## Benchmark

[https://www.blogdumoderateur.com/benchmarks-ia-evaluations-modeles-crise-credibilite/](https://www.blogdumoderateur.com/benchmarks-ia-evaluations-modeles-crise-credibilite/)

## RTK

[https://github.com/rtk-ai/rtk](https://github.com/rtk-ai/rtk)

## Flue

[https://flueframework.com](https://flueframework.com/)

[https://github.com/withastro/flue](https://github.com/withastro/flue)

## Clear site data !

[https://x.com/MozDevNet/status/2049458826580267459](https://x.com/MozDevNet/status/2049458826580267459)

## Claude 500$ par mois

[https://www.linkedin.com/pulse/votre-abonnement-claude-à-500-par-mois-êtes-vous-prêt-chris-lefevre-cvpje/](https://www.linkedin.com/pulse/votre-abonnement-claude-%C3%A0-500-par-mois-%C3%AAtes-vous-pr%C3%AAt-chris-lefevre-cvpje/)

## Vibe Kanban

[https://www.youtube.com/watch?v=W76woOYHlvY](https://www.youtube.com/watch?v=W76woOYHlvY)

## Matt Pocock - Principles for AI Coding

[https://www.youtube.com/watch?v=v4F1gFy-hqg](https://www.youtube.com/watch?v=v4F1gFy-hqg)