大规模NPM和PyPI供应链攻击影响TanStack、Mistral AI及170多个软件包

✍️ OpenClawRadar📅 Опубликовано: 12 мая 2026 г.🔗 Source
大规模NPM和PyPI供应链攻击影响TanStack、Mistral AI及170多个软件包
Ad

11 мая 2026 года скоординированная атака на цепочку поставок скомпрометировала более 170 npm-пакетов и 2 PyPI-пакета, затронув крупные проекты, включая TanStack, Mistral AI, UiPath, OpenSearch и Guardrails AI. Злоумышленник опубликовал в общей сложности 404 вредоносных версии, некоторые пакеты получили до 9 версий.

Цели высокого профиля

  • TanStack (42 пакета, 84 версии): вся экосистема роутеров, включая @tanstack/react-router, @tanstack/vue-router и @tanstack/solid-router вместе с их devtools и плагинами для SSR.
  • Mistral AI (3 npm-пакета, 9 версий; 1 PyPI-пакет): @mistralai/mistralai (основной SDK), @mistralai/mistralai-azure, @mistralai/mistralai-gcp. PyPI-пакет mistralai==2.4.6 (последняя легитимная версия была 2.4.5).
  • UiPath (65 пакетов) и OpenSearch (1,3 млн еженедельных загрузок npm).
  • PyPI: также скомпрометирован guardrails-ai==0.10.1.

Как работает атака

npm-пакеты содержат вредоносный preinstall hook, который помещает файлы в .claude/settings.json, .claude/setup.mjs, .vscode/tasks.json и .vscode/setup.mjs. Затем он использует GraphQL-мутацию GitHub createCommitOnBranch, чтобы отправлять отравленные конфиги в репозитории пользователя, сканируя шаблоны токенов ghp_*, gho_*, ghs_* и npm_*.

Вариант для PyPI активируется при import (а не при pip install), загружая Python-дроппер с hxxps://git-tanstack[.]com/transformers.pyz и запуская его с помощью python3 /tmp/transformers.pyz.

Ad

Индикаторы компрометации (IoCs)

  • C2/Эксфильтрация: hxxp://filev2[.]getsession[.]org/file/
  • Проверка метаданных AWS: hxxp://169[.]254[.]169[.]254/latest/meta-data/iam/security-credentials/
  • Проверка Vault: hxxp://127[.]0[.]0[.]1:8200
  • Загрузка среды выполнения Bun: hxxps://github[.]com/oven-sh/bun/releases/download/bun-v1.3.13/
  • Домен загрузки PyPI: hxxps://git-tanstack[.]com/transformers.pyz (помечен Cloudflare как фишинг)

Меры по смягчению последствий

Проверьте свои package-lock.json или yarn.lock на наличие затронутых версий. Заблокируйте перечисленные домены в брандмауэре. Смените все токены, которые могли быть скомпрометированы. PyPI поместил в карантин оба проекта: mistralai и guardrails-ai.

📖 Читайте полный источник: HN AI Agents

Ad

👀 Смотрите также

Фейковый сайт Claude распространяет вредоносное ПО PlugX через атаку с использованием подмены библиотек (sideloading).
Безопасность

Фейковый сайт Claude распространяет вредоносное ПО PlugX через атаку с использованием подмены библиотек (sideloading).

Поддельный сайт Claude распространяет троянизированный установщик, который развертывает вредоносное ПО PlugX через DLL sideloading, предоставляя злоумышленникам удаленный доступ к скомпрометированным системам. Атака использует легитимно подписанный обновляющий модуль антивируса G DATA для загрузки вредоносного кода.

OpenClawRadar
Защита разделителями повышает устойчивость Gemma 4 к инъекциям промптов с 21% до 100% в тестовом бенчмарке из 6100+ примеров
Безопасность

Защита разделителями повышает устойчивость Gemma 4 к инъекциям промптов с 21% до 100% в тестовом бенчмарке из 6100+ примеров

Бенчмарк протестировал 15 моделей на 7 типах атак (6100+ тестов), используя случайные разделители вокруг ненадежного контента. Gemma 4 E4B улучшила показатель защиты с 21,6% до 100% при использовании разделителя + строгого промпта.

OpenClawRadar
OpenClaw Skill Analyzer: Статический сканер безопасности для навыков ИИ-агентов
Безопасность

OpenClaw Skill Analyzer: Статический сканер безопасности для навыков ИИ-агентов

Разработчик создал статический анализатор, который сканирует навыки OpenClaw на наличие угроз безопасности перед установкой, используя более 40 правил обнаружения в 12 категориях, включая инъекцию промптов и эксфильтрацию данных.

OpenClawRadar
Bitwarden Agent Access SDK интегрируется с OneCLI для безопасного внедрения учетных данных.
Безопасность

Bitwarden Agent Access SDK интегрируется с OneCLI для безопасного внедрения учетных данных.

Новый SDK Agent Access от Bitwarden позволяет ИИ-агентам получать доступ к учетным данным из хранилища Bitwarden с одобрения человека, в то время как OneCLI выступает в качестве шлюза, который внедряет учетные данные на сетевом уровне, не раскрывая их исходные значения агентам.

OpenClawRadar