Attaque massive de la chaîne d'approvisionnement NPM & PyPI contre TanStack, Mistral AI et plus de 170 paquets

✍️ OpenClawRadar📅 Publié: May 12, 2026🔗 Source
Attaque massive de la chaîne d'approvisionnement NPM & PyPI contre TanStack, Mistral AI et plus de 170 paquets
Ad

Le 11 mai 2026, une attaque coordonnée sur la chaîne d'approvisionnement a compromis plus de 170 paquets npm et 2 paquets PyPI parmi des projets majeurs tels que TanStack, Mistral AI, UiPath, OpenSearch et Guardrails AI. L'attaquant a publié au total 404 versions malveillantes, certains paquets recevant jusqu'à 9 versions.

Cibles de haut profil

  • TanStack (42 paquets, 84 versions) : tout l'écosystème de routeurs, y compris @tanstack/react-router, @tanstack/vue-router et @tanstack/solid-router, ainsi que leurs devtools et plugins SSR.
  • Mistral AI (3 paquets npm, 9 versions ; 1 paquet PyPI) : @mistralai/mistralai (SDK principal), @mistralai/mistralai-azure, @mistralai/mistralai-gcp. Paquet PyPI mistralai==2.4.6 (la dernière version légitime était 2.4.5).
  • UiPath (65 paquets) et OpenSearch (1,3 million de téléchargements npm par semaine).
  • PyPI : guardrails-ai==0.10.1 également compromis.

Fonctionnement de l'attaque

Les paquets npm contiennent un crochet preinstall malveillant qui dépose des fichiers dans .claude/settings.json, .claude/setup.mjs, .vscode/tasks.json et .vscode/setup.mjs. Il utilise ensuite la mutation GraphQL createCommitOnBranch de GitHub pour pousser des configurations empoisonnées vers les dépôts de l'utilisateur, en recherchant les motifs de jetons ghp_*, gho_*, ghs_* et npm_*.

La variante PyPI se déclenche lors de l'import (pas lors de pip install), téléchargeant un dropper Python depuis hxxps://git-tanstack[.]com/transformers.pyz et l'exécutant avec python3 /tmp/transformers.pyz.

Ad

Indicateurs de compromission (IoCs)

  • C2/Exfiltration : hxxp://filev2[.]getsession[.]org/file/
  • Sonde metadata AWS : hxxp://169[.]254[.]169[.]254/latest/meta-data/iam/security-credentials/
  • Sonde Vault : hxxp://127[.]0[.]0[.]1:8200
  • Téléchargement runtime Bun : hxxps://github[.]com/oven-sh/bun/releases/download/bun-v1.3.13/
  • Domaine de téléchargement PyPI : hxxps://git-tanstack[.]com/transformers.pyz (signalé comme phishing par Cloudflare)

Atténuation

Vérifiez votre package-lock.json ou yarn.lock pour les versions affectées. Bloquez les domaines listés dans votre pare-feu. Rotationnez tous les jetons qui ont pu être exposés. PyPI a mis en quarantaine les projets mistralai et guardrails-ai.

📖 Lire la source complète : HN AI Agents

Ad

👀 See Also

Pi : Un agent cyber IA à 100 M$ d'un ex-hacker de Tesla sécurise xAI et corrige des bugs en quelques minutes
Security

Pi : Un agent cyber IA à 100 M$ d'un ex-hacker de Tesla sécurise xAI et corrige des bugs en quelques minutes

Pi, un agent de sécurité IA de l'ancien hacker en chef de Tesla Yoni Ramon, utilise le tri contextuel des vulnérabilités et le correctif automatisé. Le client précoce Navan rapporte que 90 % des bugs sont corrigés en quelques minutes, économisant l'équivalent de 1 à 2 employés à temps plein.

OpenClawRadar
Le SDK d'accès de l'agent Bitwarden s'intègre à OneCLI pour l'injection sécurisée des identifiants.
Security

Le SDK d'accès de l'agent Bitwarden s'intègre à OneCLI pour l'injection sécurisée des identifiants.

Le nouveau SDK d'accès aux agents de Bitwarden permet aux agents IA d'accéder aux identifiants du coffre-fort de Bitwarden avec approbation humaine, tandis qu'OneCLI agit comme une passerelle qui injecte les identifiants au niveau réseau sans exposer les valeurs brutes aux agents.

OpenClawRadar
jqwik v1.10.0 glisse une injection de prompt qui supprime du code lorsqu'il est utilisé par des agents IA
Security

jqwik v1.10.0 glisse une injection de prompt qui supprime du code lorsqu'il est utilisé par des agents IA

Johannes Link a ajouté une instruction cachée à jqwik v1.10.0 qui ordonne aux agents de codage IA de supprimer tous les tests et le code jqwik, dissimulée avec des séquences d'échappement ANSI. Claude la détecte correctement, mais les utilisateurs humains pourraient ne pas avoir cette chance.

OpenClawRadar
Les modèles Claude sont vulnérables au détournement par des caractères Unicode invisibles, en particulier avec l'accès aux outils.
Security

Les modèles Claude sont vulnérables au détournement par des caractères Unicode invisibles, en particulier avec l'accès aux outils.

Les tests montrent que Claude Sonnet 4 est conforme à 71,2 % aux instructions cachées intégrées dans des caractères Unicode invisibles lorsque les outils sont activés, tandis qu'Opus 4 atteint une conformité de 100 % sur l'encodage des balises Unicode. L'accès aux outils augmente considérablement la vulnérabilité de tous les modèles Claude.

OpenClawRadar