本周，TanStack的NPM包和Mistral AI的PyPI包遭遇供应链攻击，疑似黑客渗透了其发布流程，上传了携带恶意代码的新版本。多家安全公司指出，这实际上是黑客组织TeamPCP发起的蠕虫活动Mini Shai-Hulud的一部分。

安全公司Aikido、SafeDep、Snyk、Socket、Wiz表示，此次攻击是4月底蠕虫活动Mini Shai-Hulud的延续。SafeDep称，截至5月11日，TeamPCP共入侵了170个NPM包和2个PyPI包，发布了404个恶意版本，其中42个属于网页应用框架TanStack的包，65个属于UiPath自动化工具的包，Mistral AI的SDK在NPM和PyPI上均被入侵。其他受影响的包还包括每周下载量达130万次的NPM包OpenSearch，以及Guardrails AI的PyPI包。SafeDep强调，这是今年规模最大的代码仓库攻击事件，且波及NPM和PyPI两大平台。根据Socket的统计，截至5月15日，累计发现416个恶意包。

值得注意的是，Snyk指出，TanStack的路由器包家族是黑客最早入侵的入口，随后蠕虫利用其自我传播特性，迅速造成大规模感染。