Attaque massive de la chaîne d'approvisionnement NPM & PyPI contre TanStack, Mistral AI et plus de 170 paquets

Le 11 mai 2026, une attaque coordonnée sur la chaîne d'approvisionnement a compromis plus de 170 paquets npm et 2 paquets PyPI parmi des projets majeurs tels que TanStack, Mistral AI, UiPath, OpenSearch et Guardrails AI. L'attaquant a publié au total 404 versions malveillantes, certains paquets recevant jusqu'à 9 versions.
Cibles de haut profil
- TanStack (42 paquets, 84 versions) : tout l'écosystème de routeurs, y compris
@tanstack/react-router,@tanstack/vue-routeret@tanstack/solid-router, ainsi que leurs devtools et plugins SSR. - Mistral AI (3 paquets npm, 9 versions ; 1 paquet PyPI) :
@mistralai/mistralai(SDK principal),@mistralai/mistralai-azure,@mistralai/mistralai-gcp. Paquet PyPImistralai==2.4.6(la dernière version légitime était 2.4.5). - UiPath (65 paquets) et OpenSearch (1,3 million de téléchargements npm par semaine).
- PyPI :
guardrails-ai==0.10.1également compromis.
Fonctionnement de l'attaque
Les paquets npm contiennent un crochet preinstall malveillant qui dépose des fichiers dans .claude/settings.json, .claude/setup.mjs, .vscode/tasks.json et .vscode/setup.mjs. Il utilise ensuite la mutation GraphQL createCommitOnBranch de GitHub pour pousser des configurations empoisonnées vers les dépôts de l'utilisateur, en recherchant les motifs de jetons ghp_*, gho_*, ghs_* et npm_*.
La variante PyPI se déclenche lors de l'import (pas lors de pip install), téléchargeant un dropper Python depuis hxxps://git-tanstack[.]com/transformers.pyz et l'exécutant avec python3 /tmp/transformers.pyz.
Indicateurs de compromission (IoCs)
- C2/Exfiltration :
hxxp://filev2[.]getsession[.]org/file/ - Sonde metadata AWS :
hxxp://169[.]254[.]169[.]254/latest/meta-data/iam/security-credentials/ - Sonde Vault :
hxxp://127[.]0[.]0[.]1:8200 - Téléchargement runtime Bun :
hxxps://github[.]com/oven-sh/bun/releases/download/bun-v1.3.13/ - Domaine de téléchargement PyPI :
hxxps://git-tanstack[.]com/transformers.pyz(signalé comme phishing par Cloudflare)
Atténuation
Vérifiez votre package-lock.json ou yarn.lock pour les versions affectées. Bloquez les domaines listés dans votre pare-feu. Rotationnez tous les jetons qui ont pu être exposés. PyPI a mis en quarantaine les projets mistralai et guardrails-ai.
📖 Lire la source complète : HN AI Agents
👀 See Also

Pi : Un agent cyber IA à 100 M$ d'un ex-hacker de Tesla sécurise xAI et corrige des bugs en quelques minutes
Pi, un agent de sécurité IA de l'ancien hacker en chef de Tesla Yoni Ramon, utilise le tri contextuel des vulnérabilités et le correctif automatisé. Le client précoce Navan rapporte que 90 % des bugs sont corrigés en quelques minutes, économisant l'équivalent de 1 à 2 employés à temps plein.

Le SDK d'accès de l'agent Bitwarden s'intègre à OneCLI pour l'injection sécurisée des identifiants.
Le nouveau SDK d'accès aux agents de Bitwarden permet aux agents IA d'accéder aux identifiants du coffre-fort de Bitwarden avec approbation humaine, tandis qu'OneCLI agit comme une passerelle qui injecte les identifiants au niveau réseau sans exposer les valeurs brutes aux agents.

jqwik v1.10.0 glisse une injection de prompt qui supprime du code lorsqu'il est utilisé par des agents IA
Johannes Link a ajouté une instruction cachée à jqwik v1.10.0 qui ordonne aux agents de codage IA de supprimer tous les tests et le code jqwik, dissimulée avec des séquences d'échappement ANSI. Claude la détecte correctement, mais les utilisateurs humains pourraient ne pas avoir cette chance.

Les modèles Claude sont vulnérables au détournement par des caractères Unicode invisibles, en particulier avec l'accès aux outils.
Les tests montrent que Claude Sonnet 4 est conforme à 71,2 % aux instructions cachées intégrées dans des caractères Unicode invisibles lorsque les outils sont activés, tandis qu'Opus 4 atteint une conformité de 100 % sur l'encodage des balises Unicode. L'accès aux outils augmente considérablement la vulnérabilité de tous les modèles Claude.