Attaque massive de chaîne d'approvisionnement npm vise TanStack et Mistral AI
Original : Mass npm Supply Chain Attack Hits TanStack, Mistral AI, and 170+ Packages
Pourquoi c'est important
Premier événement d'attaque coordonnée couvrant npm et PyPI simultanément
Une attaque coordonnée le 11 mai 2026 a compromis plus de 170 packages npm et 2 packages PyPI, totalisant 404 versions malveillantes. L'attaquant a visé l'écosystème TanStack, les SDK Mistral AI, OpenSearch et UiPath.
L'attaque baptisée "mini-shai-hulud" par StepSecurity et Socket représente l'un des plus grands événements d'empoisonnement de registres coordonnés observés en 2026. Les packages affectés incluent @tanstack/react-router (3M+ téléchargements hebdomadaires), @mistralai/mistralai, @opensearch-project/opensearch (1,3M téléchargements), et @uipath/robot. L'attaque s'est étendue à PyPI avec mistralai==2.4.6 et guardrails-ai==0.10.1. Les packages PyPI utilisent un mécanisme de livraison différent avec un dropper Python téléchargeant transformers.pyz depuis un serveur contrôlé par l'attaquant. PyPI a mis en quarantaine les projets mistralai et guardrails-ai.