Massiver NPM- und PyPI-Supply-Chain-Angriff trifft TanStack, Mistral AI und über 170 Pakete
Am 11. Mai 2026 kompromittierte ein koordinierter Supply-Chain-Angriff über 170 npm-Pakete und 2 PyPI-Pakete in großen Projekten wie TanStack, Mistral AI, UiPath, OpenSearch und Guardrails AI. Der Angreifer veröffentlichte insgesamt 404 bösartige Versionen, wobei einige Pakete bis zu 9 Versionen erhielten.
Prominente Ziele
- TanStack (42 Pakete, 84 Versionen): Das gesamte Router-Ökosystem, einschließlich
@tanstack/react-router,@tanstack/vue-routerund@tanstack/solid-routersowie deren Devtools und SSR-Plugins. - Mistral AI (3 npm-Pakete, 9 Versionen; 1 PyPI-Paket):
@mistralai/mistralai(Kern-SDK),@mistralai/mistralai-azure,@mistralai/mistralai-gcp. PyPI-Paketmistralai==2.4.6(die letzte legitime Version war 2.4.5). - UiPath (65 Pakete) und OpenSearch (1,3 Mio. wöchentliche npm-Downloads).
- PyPI: Auch
guardrails-ai==0.10.1wurde kompromittiert.
Wie der Angriff funktioniert
Die npm-Pakete enthalten einen bösartigen Preinstall-Hook, der Dateien in .claude/settings.json, .claude/setup.mjs, .vscode/tasks.json und .vscode/setup.mjs ablegt. Anschließend nutzt er die GraphQL-Mutation createCommitOnBranch von GitHub, um manipulierte Konfigurationen in die Repositories des Benutzers zu pushen und nach Token-Mustern ghp_*, gho_*, ghs_* und npm_* zu suchen.
Die PyPI-Variante wird bei import ausgelöst (nicht bei pip install), lädt einen Python-Dropper von hxxps://git-tanstack[.]com/transformers.pyz herunter und führt ihn mit python3 /tmp/transformers.pyz aus.
Indikatoren für eine Kompromittierung (IoCs)
- C2/Exfiltration:
hxxp://filev2[.]getsession[.]org/file/ - AWS-Metadatenabfrage:
hxxp://169[.]254[.]169[.]254/latest/meta-data/iam/security-credentials/ - Vault-Abfrage:
hxxp://127[.]0[.]0[.]1:8200 - Bun-Laufzeitdownload:
hxxps://github[.]com/oven-sh/bun/releases/download/bun-v1.3.13/ - PyPI-Download-Domain:
hxxps://git-tanstack[.]com/transformers.pyz(von Cloudflare als Phishing markiert)
Abhilfe
Überprüfen Sie Ihre package-lock.json oder yarn.lock auf die betroffenen Versionen. Blockieren Sie die aufgeführten Domains in Ihrer Firewall. Wechseln Sie alle möglicherweise offengelegten Token. PyPI hat sowohl die Projekte mistralai als auch guardrails-ai unter Quarantäne gestellt.
📖 Lesen Sie die vollständige Quelle: HN AI Agents
👀 Siehe auch
Das Problem uniformierter Wachen: Warum Agent-Sandboxen Identität brauchen, nicht nur Richtlinien
Die Openshell-Sandbox von Nemoclaw begrenzt Sicherheitsrichtlinien auf Binärdateien, sodass Malware dieselben Binärdateien wie der Agent nutzen kann ("Live-off-the-Land"). ZeroID, eine Open-Source-Identitätsschicht für Agenten, wendet Sicherheitsrichtlinien auf Agenten an, die durch sichere Identitäten geschützt sind.
Praktische Sicherheitspraktiken für OpenClaw-Agenten
Ein Reddit-Beitrag beschreibt spezifische Sicherheitspraktiken für OpenClaw-Nutzer, darunter geplante Befehle für Updates und Audits, die Verwaltung des Agentenzugriffs in geteilten Kanälen sowie die Sicherung von API-Schlüsseln und Skills.
KI-Agent-Produktionslöschungsvorfälle: Das Muster und die Lösung
Produktionslöschvorfälle von PocketOS, Replit und Cursor folgen einem gemeinsamen Zugriffsmuster. Lösung: Agenten erhalten keine Produktionsanmeldedaten; alle Änderungen durchlaufen CI/CD mit einer policy-basierten Bewertungspforte.
Neuer Skill automatisiert OpenClaw-Sicherheitshärtung auf Remote-Servern
Ein Community-Entwickler hat einen Skill veröffentlicht, der KI-Assistenten hilft, OpenClaw-Installationen auf Remote-Servern automatisch abzusichern.