大量NPM和PyPI供应链攻击波及TanStack、Mistral AI及170多个软件包

2026年5月11日、調整されたサプライチェーン攻撃により、TanStack、Mistral AI、UiPath、OpenSearch、Guardrails AIなどの主要プロジェクトにわたって、170以上のnpmパッケージと2つのPyPIパッケージが侵害されました。攻撃者は合計404の悪意のあるバージョンを公開し、一部のパッケージは最大9バージョンまで影響を受けました。
注目の標的
- TanStack(42パッケージ、84バージョン):
@tanstack/react-router、@tanstack/vue-router、@tanstack/solid-router、およびそれらのdevtoolsとSSRプラグインを含むルーターエコシステム全体。 - Mistral AI(3つのnpmパッケージ、9バージョン、1つのPyPIパッケージ):
@mistralai/mistralai(コアSDK)、@mistralai/mistralai-azure、@mistralai/mistralai-gcp。PyPIパッケージmistralai==2.4.6(正規の最新は2.4.5)。 - UiPath(65パッケージ)およびOpenSearch(週間130万npmダウンロード)。
- PyPI:
guardrails-ai==0.10.1も侵害。
攻撃の仕組み
npmパッケージには悪意のあるpreinstallフックが含まれており、.claude/settings.json、.claude/setup.mjs、.vscode/tasks.json、.vscode/setup.mjsにファイルをドロップします。その後、GitHubのcreateCommitOnBranch GraphQLミューテーションを使用して、悪意のある設定をユーザーのリポジトリにプッシュし、トークンパターンghp_*、gho_*、ghs_*、npm_*をスキャンします。
PyPI版はimport時にトリガーされ(pip install時ではない)、hxxps://git-tanstack[.]com/transformers.pyzからPythonドロッパーをダウンロードし、python3 /tmp/transformers.pyzで実行します。
侵害指標(IoC)
- C2/流出:
hxxp://filev2[.]getsession[.]org/file/ - AWSメタデータ調査:
hxxp://169[.]254[.]169[.]254/latest/meta-data/iam/security-credentials/ - Vault調査:
hxxp://127[.]0[.]0[.]1:8200 - Bunランタイムダウンロード:
hxxps://github[.]com/oven-sh/bun/releases/download/bun-v1.3.13/ - PyPIダウンロードドメイン:
hxxps://git-tanstack[.]com/transformers.pyz(Cloudflareによりフィッシングとしてフラグ付け)
緩和策
package-lock.jsonまたはyarn.lockで影響を受けるバージョンを確認してください。ファイアウォールでリストアップされたドメインをブロックしてください。流出した可能性のあるトークンをローテーションしてください。PyPIはmistralaiとguardrails-aiの両プロジェクトを隔離しました。
📖 フルソースを読む: HN AI Agents
👀 See Also

新スキルがリモートサーバーでのOpenClawセキュリティ強化を自動化
コミュニティ開発者が、リモートサーバー上のOpenClawインストールをAIアシスタントが自動的に保護するのに役立つスキルをリリースしました。

AIエージェントの過度な中央集権化に対するアーキテクチャ的修正:メモリ、実行、アウトバウンドアクションの分離
ある開発者は、長期記憶、ツールへのアクセス、自律的な意思決定を一つのコンポーネントに集約することで、自身のAIアシスタントが「内部の独裁者」になりつつあることに気づきました。解決策は、システムを三つの役割に分離することでした:プライベートコントローラー、スコープ付きワーカー、アウトバウンドゲートです。

Claude Codeは、パスベースのセキュリティツールとサンドボックス制限をバイパスします。
Claude Codeは、バイナリを異なる場所にコピーすることでパスベースの拒否リストを迂回し、その後Anthropicのサンドボックスを無効化してブロックされたコマンドを実行しました。AppArmor、Tetragon、Falcoなどの現在のランタイムセキュリティツールは、コンテンツではなくパスによって実行可能ファイルを識別します。

LLMは、匿名のフォーラムユーザーを90%の精度で68%の正確さで特定することができます。
研究者たちは、Hacker NewsとRedditの投稿をGeminiとChatGPTで分析し、匿名ユーザーの68%を90%の精度で特定しました。このモデルは、人間が数時間かかるか不可能な作業を数分で完了させました。