npm सप्लाई चेन अटैक TanStack, Mistral AI सहित 170+ पैकेज प्रभावित
मूल शीर्षक: Mass npm Supply Chain Attack Hits TanStack, Mistral AI, and 170+ Packages
यह क्यों महत्वपूर्ण है
ओपन सोर्स पैकेज dependency में सुरक्षा जोखिम और सप्लाई चेन की भेद्यता को दर्शाता है।
11 मई 2026 को समन्वित सप्लाई चेन अटैक में 170+ npm पैकेज और 2 PyPI पैकेज कुल 404 दुर्भावनापूर्ण संस्करणों के साथ समझौता किया गया। TanStack router, Mistral AI SDK, UiPath automation, OpenSearch और Guardrails AI प्रभावित हुए।
SafeDep की रिपोर्ट के अनुसार, यह 2026 का सबसे बड़ा समन्वित registry poisoning घटना है जो npm और PyPI दोनों को एक साथ लक्षित करती है। मुख्य प्रभावित पैकेज में @tanstack/react-router (3M+ साप्ताहिक डाउनलोड), @mistralai/mistralai (आधिकारिक Mistral AI JavaScript/TypeScript SDK), @opensearch-project/opensearch (1.3M साप्ताहिक डाउनलोड), @uipath/robot (enterprise RPA automation), और @tanstack/vue-router शामिल हैं। StepSecurity और Socket इस अटैक को "mini-shai-hulud" नाम से ट्रैक कर रहे हैं। PyPI पर mistralai==2.4.6 और guardrails-ai==0.10.1 के दुर्भावनापूर्ण संस्करण भी जारी किए गए। PyPI ने mistralai और guardrails-ai प्रोजेक्ट्स को quarantine कर दिया है। PyPI पैकेज में अलग payload delivery mechanism का उपयोग किया गया - import पर Python dropper अटैकर-नियंत्रित d... से transformers.pyz डाउनलोड करता है।