大规模NPM和PyPI供应链攻击影响TanStack、Mistral AI及170多个软件包
11 мая 2026 года скоординированная атака на цепочку поставок скомпрометировала более 170 npm-пакетов и 2 PyPI-пакета, затронув крупные проекты, включая TanStack, Mistral AI, UiPath, OpenSearch и Guardrails AI. Злоумышленник опубликовал в общей сложности 404 вредоносных версии, некоторые пакеты получили до 9 версий.
Цели высокого профиля
- TanStack (42 пакета, 84 версии): вся экосистема роутеров, включая
@tanstack/react-router,@tanstack/vue-routerи@tanstack/solid-routerвместе с их devtools и плагинами для SSR. - Mistral AI (3 npm-пакета, 9 версий; 1 PyPI-пакет):
@mistralai/mistralai(основной SDK),@mistralai/mistralai-azure,@mistralai/mistralai-gcp. PyPI-пакетmistralai==2.4.6(последняя легитимная версия была 2.4.5). - UiPath (65 пакетов) и OpenSearch (1,3 млн еженедельных загрузок npm).
- PyPI: также скомпрометирован
guardrails-ai==0.10.1.
Как работает атака
npm-пакеты содержат вредоносный preinstall hook, который помещает файлы в .claude/settings.json, .claude/setup.mjs, .vscode/tasks.json и .vscode/setup.mjs. Затем он использует GraphQL-мутацию GitHub createCommitOnBranch, чтобы отправлять отравленные конфиги в репозитории пользователя, сканируя шаблоны токенов ghp_*, gho_*, ghs_* и npm_*.
Вариант для PyPI активируется при import (а не при pip install), загружая Python-дроппер с hxxps://git-tanstack[.]com/transformers.pyz и запуская его с помощью python3 /tmp/transformers.pyz.
Индикаторы компрометации (IoCs)
- C2/Эксфильтрация:
hxxp://filev2[.]getsession[.]org/file/ - Проверка метаданных AWS:
hxxp://169[.]254[.]169[.]254/latest/meta-data/iam/security-credentials/ - Проверка Vault:
hxxp://127[.]0[.]0[.]1:8200 - Загрузка среды выполнения Bun:
hxxps://github[.]com/oven-sh/bun/releases/download/bun-v1.3.13/ - Домен загрузки PyPI:
hxxps://git-tanstack[.]com/transformers.pyz(помечен Cloudflare как фишинг)
Меры по смягчению последствий
Проверьте свои package-lock.json или yarn.lock на наличие затронутых версий. Заблокируйте перечисленные домены в брандмауэре. Смените все токены, которые могли быть скомпрометированы. PyPI поместил в карантин оба проекта: mistralai и guardrails-ai.
📖 Читайте полный источник: HN AI Agents
👀 Смотрите также
Пользователь OpenClaw добавляет TOTP 2FA после того, как агент оставил API-ключи в открытом тексте.
Пользователь OpenClaw создал навык безопасности под названием 'Secure Reveal', который требует аутентификации по TOTP через Telegram перед отображением сохранённых учётных данных, после того как их ИИ-агент случайно раскрыл API-ключи и пароли в открытом тексте во время демонстрации.
"Живой дашборд открытых инструментов OpenClaw"
Эта запись выделяет живую панель управления, демонстрирующую открытые панельные управления для инструментов OpenClaw, таких как Moltbot и Clawdbot.
Вредоносная реклама Google нацелена на установку кода Claude
Вредоносная реклама Google появляется как первый результат по запросу 'install claude code', пытаясь обмануть пользователей и заставить их выполнить подозрительные команды в терминале. Реклама всё ещё была активна по состоянию на 15 марта 2026 года, и автор едва избежал выполнения кода.
Чат-бот Claude использован при утечке данных мексиканского правительства.
Хакер использовал чат-бот Claude от Anthropic для атаки на несколько государственных агентств Мексики, похитив 150 ГБ данных, включая записи о налогоплательщиках и учетные данные сотрудников. Хакер взломал Claude с помощью промптов, чтобы обойти защитные механизмы и сгенерировать тысячи детальных планов атак.