大量NPM和PyPI供应链攻击波及TanStack、Mistral AI及170多个软件包

2026年5月11日、調整されたサプライチェーン攻撃により、TanStack、Mistral AI、UiPath、OpenSearch、Guardrails AIなどの主要プロジェクトにわたって、170以上のnpmパッケージと2つのPyPIパッケージが侵害されました。攻撃者は合計404の悪意のあるバージョンを公開し、一部のパッケージは最大9バージョンまで影響を受けました。

注目の標的

• TanStack（42パッケージ、84バージョン）：@tanstack/react-router、@tanstack/vue-router、@tanstack/solid-router、およびそれらのdevtoolsとSSRプラグインを含むルーターエコシステム全体。
• Mistral AI（3つのnpmパッケージ、9バージョン、1つのPyPIパッケージ）：@mistralai/mistralai（コアSDK）、@mistralai/mistralai-azure、@mistralai/mistralai-gcp。PyPIパッケージmistralai==2.4.6（正規の最新は2.4.5）。
• UiPath（65パッケージ）およびOpenSearch（週間130万npmダウンロード）。
• PyPI：guardrails-ai==0.10.1も侵害。

攻撃の仕組み

npmパッケージには悪意のあるpreinstallフックが含まれており、.claude/settings.json、.claude/setup.mjs、.vscode/tasks.json、.vscode/setup.mjsにファイルをドロップします。その後、GitHubのcreateCommitOnBranch GraphQLミューテーションを使用して、悪意のある設定をユーザーのリポジトリにプッシュし、トークンパターンghp_*、gho_*、ghs_*、npm_*をスキャンします。

PyPI版はimport時にトリガーされ（pip install時ではない）、hxxps://git-tanstack[.]com/transformers.pyzからPythonドロッパーをダウンロードし、python3 /tmp/transformers.pyzで実行します。

侵害指標（IoC）

• C2/流出：hxxp://filev2[.]getsession[.]org/file/
• AWSメタデータ調査：hxxp://169[.]254[.]169[.]254/latest/meta-data/iam/security-credentials/
• Vault調査：hxxp://127[.]0[.]0[.]1:8200
• Bunランタイムダウンロード：hxxps://github[.]com/oven-sh/bun/releases/download/bun-v1.3.13/
• PyPIダウンロードドメイン：hxxps://git-tanstack[.]com/transformers.pyz（Cloudflareによりフィッシングとしてフラグ付け）

緩和策

package-lock.jsonまたはyarn.lockで影響を受けるバージョンを確認してください。ファイアウォールでリストアップされたドメインをブロックしてください。流出した可能性のあるトークンをローテーションしてください。PyPIはmistralaiとguardrails-aiの両プロジェクトを隔離しました。