Massiver NPM- und PyPI-Supply-Chain-Angriff trifft TanStack, Mistral AI und über 170 Pakete

Am 11. Mai 2026 kompromittierte ein koordinierter Supply-Chain-Angriff über 170 npm-Pakete und 2 PyPI-Pakete in großen Projekten wie TanStack, Mistral AI, UiPath, OpenSearch und Guardrails AI. Der Angreifer veröffentlichte insgesamt 404 bösartige Versionen, wobei einige Pakete bis zu 9 Versionen erhielten.
Prominente Ziele
- TanStack (42 Pakete, 84 Versionen): Das gesamte Router-Ökosystem, einschließlich
@tanstack/react-router,@tanstack/vue-routerund@tanstack/solid-routersowie deren Devtools und SSR-Plugins. - Mistral AI (3 npm-Pakete, 9 Versionen; 1 PyPI-Paket):
@mistralai/mistralai(Kern-SDK),@mistralai/mistralai-azure,@mistralai/mistralai-gcp. PyPI-Paketmistralai==2.4.6(die letzte legitime Version war 2.4.5). - UiPath (65 Pakete) und OpenSearch (1,3 Mio. wöchentliche npm-Downloads).
- PyPI: Auch
guardrails-ai==0.10.1wurde kompromittiert.
Wie der Angriff funktioniert
Die npm-Pakete enthalten einen bösartigen Preinstall-Hook, der Dateien in .claude/settings.json, .claude/setup.mjs, .vscode/tasks.json und .vscode/setup.mjs ablegt. Anschließend nutzt er die GraphQL-Mutation createCommitOnBranch von GitHub, um manipulierte Konfigurationen in die Repositories des Benutzers zu pushen und nach Token-Mustern ghp_*, gho_*, ghs_* und npm_* zu suchen.
Die PyPI-Variante wird bei import ausgelöst (nicht bei pip install), lädt einen Python-Dropper von hxxps://git-tanstack[.]com/transformers.pyz herunter und führt ihn mit python3 /tmp/transformers.pyz aus.
Indikatoren für eine Kompromittierung (IoCs)
- C2/Exfiltration:
hxxp://filev2[.]getsession[.]org/file/ - AWS-Metadatenabfrage:
hxxp://169[.]254[.]169[.]254/latest/meta-data/iam/security-credentials/ - Vault-Abfrage:
hxxp://127[.]0[.]0[.]1:8200 - Bun-Laufzeitdownload:
hxxps://github[.]com/oven-sh/bun/releases/download/bun-v1.3.13/ - PyPI-Download-Domain:
hxxps://git-tanstack[.]com/transformers.pyz(von Cloudflare als Phishing markiert)
Abhilfe
Überprüfen Sie Ihre package-lock.json oder yarn.lock auf die betroffenen Versionen. Blockieren Sie die aufgeführten Domains in Ihrer Firewall. Wechseln Sie alle möglicherweise offengelegten Token. PyPI hat sowohl die Projekte mistralai als auch guardrails-ai unter Quarantäne gestellt.
📖 Lesen Sie die vollständige Quelle: HN AI Agents
👀 Siehe auch

Vom Bauernhof zum Code: Wie ein Bauer eine Open-Source-Laufzeitverteidigung für OpenClaw geschaffen hat.
Erfahren Sie, wie ein Landwirt ohne vorherige Entwicklungserfahrung in nur 12 Stunden eine Open-Source-Laufzeitabwehr für OpenClaw mit mehreren KI-Coding-Agenten erstellt hat.

Nullgaze: Open-Source AI-unterstützter Sicherheitsscanner veröffentlicht
Nullgaze ist ein neuer, Open-Source-AI-unterstützter Sicherheits-Scanner, der speziell auf Schwachstellen in AI-generiertem Code abzielt und nahezu null falsche Positiver aufweist.

Sicherheitscheckliste für Claude KI-generierte Anwendungen
Ein Entwickler teilt eine Checkliste mit häufigen Sicherheits- und Betriebslücken in Anwendungen, die mit Claude Code erstellt wurden, darunter Ratenbegrenzung, Authentifizierungsfehler, Datenbank-Skalierungsprobleme und Eingabevalidierungsschwachstellen.

Agent-Pass: Identitätsverifizierung für KI-Agenten
Agent Passport ist eine Open-Source-Identitätsüberprüfungsschicht, die Ed25519-Authentifizierung und JWT-Token für KI-Agenten verwendet und das Problem der Identitätsanmaßung angeht.