TanStack、Mistral AI、UiPathなどのnpm・PyPIパッケージがMini Shai-Huludサプライチェーン攻撃の影響を受けました。開発端末やCI/CD環境の認証情報窃取につながる恐れがあり、影響確認とシークレットローテーションが必要です。
【サマリー】
- TanStack、Mistral AI、UiPath、OpenSearchなどのnpm・PyPIパッケージが、Mini Shai-Huludサプライチェーン攻撃の影響を受けました。
- SecurityWeekは、今回の攻撃で170件超のパッケージに400件超の悪意あるバージョンが公開されたと報じています。
- 悪意あるパッケージは、開発端末やCI/CD環境で実行され、GitHubトークン、npmトークン、クラウド認証情報、Kubernetesトークン、Vaultトークン、SSH秘密鍵などを窃取する可能性があります。
- TanStackの事後分析では、npmトークンの直接窃取ではなく、GitHub Actionsのtrusted publishing経路が悪用されたと説明されています。
- 情シス・開発部門は、影響パッケージの利用有無、ロックファイル、CI/CDログ、社内ミラー、コンテナイメージ、シークレットのローテーションを確認する必要があります。
目次
Mini Shai-Huludとは
Mini Shai-Huludは、npmやPyPIなどのパッケージエコシステムを狙うサプライチェーン攻撃キャンペーンです。
特徴は、悪意あるパッケージを開発者端末やCI/CD環境にインストールさせ、そこに保存されている認証情報を窃取しようとする点です。狙われる情報には、GitHubトークン、npmトークン、クラウド認証情報、Kubernetesトークン、Vaultトークン、SSH秘密鍵などが含まれます。
一般的なマルウェアのように、利用者のPC上でランサムウェアを実行したり、ブラウザ情報だけを盗んだりするものではありません。開発者やビルド環境が持つ権限を悪用し、ソースコードリポジトリ、クラウド環境、パッケージ公開権限へ到達することを狙います。
Mini Shai-Huludが危険なのは、自己伝播に近い性質を持つ点です。攻撃者は、侵害した環境から取得したnpmトークンやGitHub関連の認証情報を使い、被害者が公開権限を持つ別のパッケージにも悪意あるバージョンを公開しようとします。これにより、1つの開発環境の侵害が、別のOSSパッケージや企業内パッケージへ連鎖する可能性があります。
今回のTanStack事案では、攻撃者がnpmトークンを直接盗んで公開したのではなく、GitHub Actionsのtrusted publishing経路を悪用して悪意あるパッケージを公開したと説明されています。つまり、攻撃者は正規のCI/CDの仕組みを悪用し、見かけ上は正規の公開手順で配布されたように見える悪意あるパッケージを作成しました。
このため、Mini Shai-Huludは単なる依存パッケージの汚染ではなく、開発端末、CI/CD、パッケージ公開フロー、クラウド認証情報を横断して狙う攻撃として扱う必要があります。情シス部門だけでなく、開発部門、SRE、DevOps、クラウド管理者が連携して確認すべき事案です。
何が起きたか
2026年5月11日、TanStackのnpmパッケージ群に悪意あるバージョンが公開されました。
TanStackの公式ポストモーテムによると、攻撃者は短時間に42個の@tanstack/*パッケージへ、合計84個の悪意あるバージョンを公開しました。影響を受けたのはRouter/Start系のモノレポに含まれるパッケージで、TanStack Query、Table、Form、Virtualなどの他ファミリーは影響を受けていないとされています。
悪意あるパッケージには、router_init.jsという難読化されたJavaScriptが含まれていました。このスクリプトは、npm install、pnpm install、yarn installなどのインストール処理時に実行され、開発端末やCI/CD環境に存在する認証情報を収集・外部送信しようとするものでした。
その後、攻撃はTanStackだけにとどまらず、Mistral AI、UiPath、OpenSearch、Squawk、Guardrails AIなど、複数のnpm・PyPIパッケージへ広がりました。
Mistral AIは、自社SDKパッケージがこのサプライチェーン攻撃の影響を受けたことを認め、npmおよびPyPIの影響バージョンを公表しています。
UiPathもTrust Centerで、TanStackに関連するnpmサプライチェーン侵害の影響を受けたことを公表しました。ただし、UiPathの調査では、侵害されたUiPath npmパッケージにはマルウェアを機能しなくする不具合があり、ダウンロードされてもマルウェアのリスクはないと説明しています。
原因
今回の攻撃の中核は、TanStackのGitHub Actionsリリースパイプラインを悪用した点にあります。
TanStackは、攻撃者が3つの既知の攻撃手法を連鎖させたと説明しています。
1つ目は、pull_request_targetを使うワークフローで外部フォーク由来のコードが実行される、いわゆるPwn Requestパターンです。
2つ目は、GitHub Actionsのキャッシュポイズニングです。
3つ目は、GitHub Actions RunnerのプロセスメモリからOIDCトークンを抽出する手法です。
この組み合わせにより、攻撃者は外部フォークに仕込んだコードを使ってGitHub Actionsのキャッシュを汚染し、その後の正規リリースワークフローに汚染済みキャッシュを復元させました。さらに、リリースワークフロー内で発行されたOIDCトークンを取得し、npm trusted publishingの仕組みを悪用して悪意あるパッケージを公開しました。
重要なのは、TanStackの説明ではnpmトークンが盗まれたわけではなく、npm publishワークフロー自体が直接改ざんされたわけでもない点です。攻撃者は、正規のCI/CDパイプラインに入り込み、正規の公開経路に見える形で悪意あるパッケージを配布しました。
このため、パッケージの来歴情報やSLSA provenanceが存在していても、それだけで安全とは判断できません。ビルドパイプライン自体が乗っ取られた場合、信頼された手順から悪意ある成果物が生成されるためです。
影響範囲
TanStackでは、42パッケージ、84バージョンが影響を受けました。影響バージョンを2026年5月11日にインストールした開発端末やCI環境は、認証情報が窃取された可能性があります。
Mistral AIでは、npmの@mistralai/mistralai、@mistralai/mistralai-azure、@mistralai/mistralai-gcp、PyPIのmistralaiが影響対象として公表されています。Mistral AIの説明では、npmパッケージ側はSetup.mjsが存在しないファイルを参照しており実害は限定的とされています。
一方、PyPI版のmistralai 2.4.6は、Linux環境でimport時に悪意あるスクリプトを実行し、バックグラウンドプロセスを起動して認証情報を収集しようとするものでした。
UiPathでは、65件のnpmパッケージが攻撃キャンペーンに含まれたと報じられています。
ただし、UiPathはTrust Centerで、侵害されたUiPath npmパッケージにはマルウェアを機能させない不具合があり、ダウンロードされてもマルウェアのリスクはないと説明しています。また、現時点で本番システム、ID基盤、顧客データへのアクセスは確認されていないとしています。
OpenSearch Projectでは、JavaScriptクライアントの一部開発版パッケージが影響を受けたと公表されています。影響対象は未リリースの開発版であり、過去に正式リリースされた安定版パッケージや下流製品・サービスリリースは影響を受けていないと説明されています。
どの情報が狙われたのか
今回のMini Shai-Huludは、一般利用者のPCを狙うマルウェアというより、開発端末とCI/CD環境を狙う認証情報窃取型のサプライチェーンワームです。
TanStackの公式アドバイザリでは、悪意あるペイロードがAWS、GCP、Kubernetes、Vault、npm、GitHub、SSH秘密鍵などを探索し、窃取しようとしたと説明されています。
開発端末やCI/CD環境には、通常の業務端末よりも強い権限を持つ情報が残りがちです。GitHub Personal Access Token、npm公開トークン、クラウドAPIキー、Kubernetesサービスアカウント、Vaultトークン、SSH秘密鍵、CI/CDシークレットなどが漏えいすると、単一端末の侵害にとどまりません。
攻撃者がこれらを悪用した場合、リポジトリ改ざん、クラウド環境への不正アクセス、追加パッケージの改ざん、社内パッケージ経由の横展開につながる可能性があります。
また、今回の攻撃は自己伝播の仕組みも備えていました。窃取したnpmトークンやGitHub Actions OIDCの仕組みを悪用し、被害者が公開権限を持つ別パッケージへ悪意あるバージョンを公開しようとする構造です。
現在の対応
TanStackの対応
TanStackは、影響を受けた84バージョンを短時間で非推奨化し、npm側にもtarball削除を依頼しました。TanStackは、Router/Start以外のTanStackリポジトリとパッケージは影響を受けておらず、現在公開されているTanStackパッケージは安全にインストールできると説明しています。
Mistral AIの対応
Mistral AIは、影響を受けたnpmおよびPyPIパッケージの情報、公開・削除時刻、IoC、確認手順、修復手順を公表しています。同社は、影響を受けた開発者端末が関係したとしつつ、フォレンジック調査ではMistralのインフラが侵害された事実は確認されていないとしています。
UiPathの対応
UiPathは、侵害されたUiPath npmパッケージに含まれるマルウェアが機能しない状態だったとし、顧客がダウンロードしてもマルウェアリスクはないと説明しています。また、悪意あるバージョンは短時間で非推奨化され、その後unpublishが完了したとしています。
OpenSearch Projectの対応
OpenSearch Projectは、影響を受けたnpm開発版パッケージについて、既に対応済みであり、正式リリース済みの安定版や下流製品・サービスへの影響はないと説明しています。
情報システム部門が確認すべきポイント
まず、2026年5月11日以降に、影響を受けたnpm・PyPIパッケージを開発端末、CI/CD環境、コンテナビルド環境、社内パッケージミラーが取り込んでいないかを確認してください。
確認対象は、package-lock.json、pnpm-lock.yaml、yarn.lock、requirements.txt、pyproject.toml、poetry.lock、CI/CDログ、コンテナイメージ、アーティファクトリポジトリ、社内npm・PyPIミラーです。インストール履歴だけでなく、ロックファイル、キャッシュ、ビルド成果物に残っていないかも見る必要があります。
次に、影響を受けた可能性のある環境でアクセス可能だった認証情報を洗い出してください。GitHub、npm、クラウド、Kubernetes、Vault、SSH、CI/CDシークレットなどが対象です。パッケージをインストールした端末だけでなく、その端末やCIジョブが参照できたシークレットを基準に、ローテーション範囲を決める必要があります。
また、GitHub監査ログ、npm公開履歴、クラウド監査ログ、Kubernetes APIログ、Vaultアクセスログ、CI/CD実行ログを確認してください。攻撃者が窃取した認証情報を使って、リポジトリの読み取り、ブランチ作成、シークレット取得、パッケージ公開、クラウドリソース作成、永続化を試みていないかを確認する必要があります。
開発者端末については、EDRやMDMで、悪意あるペイロードの痕跡、不審な外部通信、未知の常駐プロセス、AI開発ツールやエディタ設定への不審な変更を確認してください。今回の攻撃では、CI/CDだけでなく、開発者端末自体がシークレット窃取の対象になります。
CI/CDで確認すべき設定
GitHub Actionsを利用している組織では、pull_request_targetを使うワークフローを棚卸ししてください。
このトリガーは便利ですが、外部フォーク由来のコードをベースリポジトリ側の権限やキャッシュと組み合わせると危険です。外部Pull Requestのコードをチェックアウトしてビルドする処理が、権限の高いコンテキストで動いていないか確認する必要があります。
GitHub Actionsキャッシュの使い方も確認してください。外部フォーク由来の処理が、mainブランチのリリースワークフローで復元されるキャッシュを汚染できる構成になっている場合、同種の攻撃を受ける可能性があります。
OIDC trusted publishingを利用している場合は、id-token: writeを付与しているワークフローを見直してください。OIDCは長寿命トークンを避ける有効な仕組みですが、ワークフロー内で任意コード実行が成立すると、短寿命の公開用トークンを発行される可能性があります。
リリース専用ワークフローとPR検証ワークフローを分離し、キャッシュやシークレットの共有を最小化する必要があります。外部コードを処理するワークフローには、公開権限、クラウド権限、npm公開権限、GitHub書き込み権限を持たせない設計が必要です。
出典
- SecurityWeek:TanStack, Mistral AI, UiPath Hit in Fresh Supply Chain Attack
- TanStack:Postmortem: TanStack npm supply-chain compromise
- GitHub Advisory Database:CVE-2026-45321 / Malware in @tanstack/* packages exfiltrates cloud credentials, GitHub tokens, and SSH keys
- Mistral AI:TanStack supply chain attack affecting Mistral AI SDK packages
- UiPath Trust Center:TanStack NPM Compromise
- OpenSearch Forum:Security Advisory: Compromised npm Development Packages
- StepSecurity:TeamPCP’s Mini Shai-Hulud Is Back: A Self-Spreading Supply Chain Attack Compromises TanStack npm Packages








