Serangan Supply Chain Massal Sasar TanStack, Mistral AI, 170+ Paket
Judul asli: Mass npm Supply Chain Attack Hits TanStack, Mistral AI, and 170+ Packages
Mengapa Ini Penting
Menunjukkan meningkatnya ancaman terkoordinasi terhadap ekosistem open source
Serangan terkoordinasi pada 11 Mei 2026 mengkompromikan 170+ paket npm dan 2 paket PyPI dengan total 404 versi berbahaya. Menyasar TanStack router (42 paket), Mistral AI SDK, UiPath (65 paket), OpenSearch, dan Guardrails AI.
SafeDep melaporkan serangan supply chain terbesar 2026 yang menyasar npm dan PyPI sekaligus. Paket terpengaruh meliputi @tanstack/react-router (3 juta+ unduhan mingguan), @mistralai/mistralai (SDK resmi JavaScript/TypeScript), @opensearch-project/opensearch (1,3 juta unduhan mingguan), dan @uipath/robot untuk otomasi enterprise. StepSecurity dan Socket melacak serangan ini sebagai 'mini-shai-hulud'. Di PyPI, penyerang mengkompromikan mistralai==2.4.6 dan guardrails-ai==0.10.1. PyPI telah mengkarantina kedua proyek tersebut. Paket PyPI menggunakan mekanisme payload berbeda dengan dropper Python yang mengunduh transformers.pyz dari server penyerang.