大量NPM和PyPI供应链攻击波及TanStack、Mistral AI及170多个软件包

2026年5月11日、調整されたサプライチェーン攻撃により、TanStack、Mistral AI、UiPath、OpenSearch、Guardrails AIなどの主要プロジェクトにわたって、170以上のnpmパッケージと2つのPyPIパッケージが侵害されました。攻撃者は合計404の悪意のあるバージョンを公開し、一部のパッケージは最大9バージョンまで影響を受けました。
注目の標的
- TanStack(42パッケージ、84バージョン):
@tanstack/react-router、@tanstack/vue-router、@tanstack/solid-router、およびそれらのdevtoolsとSSRプラグインを含むルーターエコシステム全体。 - Mistral AI(3つのnpmパッケージ、9バージョン、1つのPyPIパッケージ):
@mistralai/mistralai(コアSDK)、@mistralai/mistralai-azure、@mistralai/mistralai-gcp。PyPIパッケージmistralai==2.4.6(正規の最新は2.4.5)。 - UiPath(65パッケージ)およびOpenSearch(週間130万npmダウンロード)。
- PyPI:
guardrails-ai==0.10.1も侵害。
攻撃の仕組み
npmパッケージには悪意のあるpreinstallフックが含まれており、.claude/settings.json、.claude/setup.mjs、.vscode/tasks.json、.vscode/setup.mjsにファイルをドロップします。その後、GitHubのcreateCommitOnBranch GraphQLミューテーションを使用して、悪意のある設定をユーザーのリポジトリにプッシュし、トークンパターンghp_*、gho_*、ghs_*、npm_*をスキャンします。
PyPI版はimport時にトリガーされ(pip install時ではない)、hxxps://git-tanstack[.]com/transformers.pyzからPythonドロッパーをダウンロードし、python3 /tmp/transformers.pyzで実行します。
侵害指標(IoC)
- C2/流出:
hxxp://filev2[.]getsession[.]org/file/ - AWSメタデータ調査:
hxxp://169[.]254[.]169[.]254/latest/meta-data/iam/security-credentials/ - Vault調査:
hxxp://127[.]0[.]0[.]1:8200 - Bunランタイムダウンロード:
hxxps://github[.]com/oven-sh/bun/releases/download/bun-v1.3.13/ - PyPIダウンロードドメイン:
hxxps://git-tanstack[.]com/transformers.pyz(Cloudflareによりフィッシングとしてフラグ付け)
緩和策
package-lock.jsonまたはyarn.lockで影響を受けるバージョンを確認してください。ファイアウォールでリストアップされたドメインをブロックしてください。流出した可能性のあるトークンをローテーションしてください。PyPIはmistralaiとguardrails-aiの両プロジェクトを隔離しました。
📖 フルソースを読む: HN AI Agents
👀 See Also

openclaw-credential-vaultは、AIエージェントにおける4つの認証情報漏洩経路に対処します。
openclaw-credential-vaultは、OpenClaw AIエージェント環境における認証情報の漏洩リスクに対処するセキュリティツールです。OSレベルの分離とサブプロセススコープの認証情報注入を提供し、OpenClaw環境で一般的な4つの認証情報漏洩経路を防止します。4段階のフックによる出力スクラビングを含み、あらゆるCLIツールやAPIと連携します。

わずか2分でNonoカーネルベースの分離によりOpenClawを安全に保護
OpenClawユーザーは、Nonoカーネルベースの分離技術により、わずか2分で実現できる迅速かつ効果的なソリューションのおかげで、パフォーマンスを損なうことなく強化されたセキュリティを楽しむことができます。

OpenClaw セキュリティ: あなたが最初に始めるべき強化ベースライン
OpenClawをセルフホストしても自動的にセキュアになるわけではありません。Redditの投稿では、ハードニングベースライン設定として、ローカル専用Gateway、ピア間DM分離、ランタイム・ファイルシステム・自動化ツールグループの拒否、execのロックダウン、メンション制限グループが詳細に説明されています。

OpenClawがプロダクティビティ・プレイブックから怪しいスクリプトをブロックし、その後ファイナンシャル・ワークブックの構築を続けた
ユーザーがOpenClawに怪しい生産性向上プレイブックのzipを渡したところ、OpenClawはスクリプトの実行を拒否し、スキルディレクトリへの自動インストールを警告。代わりに内蔵スキルを使って手動でワークブックを作成した話。