- S'ha injectat codi maliciós al paquet oficial del SDK d'IA de Mistral a PyPI, que s'executa automàticament en sistemes Linux.
- El programari maliciós va descarregar un fitxer de segona fase anomenat transformers.pyz per robar les credencials del desenvolupador i altres secrets sensibles.
- L'incident està vinculat a una campanya més àmplia de la cadena de subministrament de Shai-Hulud / TeamPCP que va comprometre més de 170 npm i diversos paquets PyPI.
- Els experts insten els desenvolupadors a rotar els tokens, bloquejar les dependències i buscar infeccions en projectes d'IA i de codi obert.
S'ha descobert que el kit de desenvolupament de programari oficial de Mistral AI, distribuït a través del popular repositori de Python PyPI, conté programari maliciós furtiu que s'activava silenciosament en sistemes Linux tan bon punt els desenvolupadors van importar el paquet compromès. El descobriment ha generat noves preocupacions sobre com d'exposades estan realment la IA moderna i les cadenes de subministrament de codi obert.
Segons els detalls tècnics compartits per Microsoft i altres investigadors de seguretat, el codi maliciós es va introduir de contraban directament en un paquet d'IA de Mistral de confiança i abusar de les canalitzacions de publicació automatitzades i de les eines de desenvolupamentPer a milers d'enginyers que treballen amb models d'aprenentatge automàtic, l'incident és un altre recordatori que fins i tot els SDK de confiança generalitzada poden convertir-se en vectors d'infecció de la nit al dia.
Com es va colar codi maliciós al paquet PyPI de Mistral AI
Els investigadors informen que els actors d'amenaces van aconseguir inserir lògica maliciosa al paquet mistralai allotjat a PyPI, un centre de dades en què confien els desenvolupadors de Python per instal·lar biblioteques i frameworks. Microsoft Threat Intelligence va declarar que el paquet modificat contenia codi addicional que s'executava automàticament a les màquines Linux sempre que s'utilitzava l'SDK en projectes.
La lògica nociva va descarregar una càrrega útil de segona etapa anomenada transformers.pyz des d'un servidor remot, emmagatzemant-lo sota el /tmp directori i executant-lo silenciosament en segon pla. Els analistes de seguretat van assenyalar que el nom de fitxer escollit sembla creat intencionadament per assemblar-se a la biblioteca legítima Hugging Face Transformers, una dependència extremadament comuna en entorns d'IA i aprenentatge automàtic, cosa que fa que el programari maliciós es barregi amb les eines normals.
En una de les versions compromeses, els investigadors van observar el fragment no autoritzat a l'interior the file mistralai/client/__init__.pyTan bon punt s'importés el mòdul, el codi addicional arribaria a la IP controlada per l'atacant, i buscaria transformers.pyz i llançar-lo, sense indicacions visibles ni interacció de l'usuari. Des del punt de vista del desenvolupador, tot semblava una importació rutinària d'un SDK estàndard.
Després del descobriment, els mantenidors de l'índex de paquets de Python va posar el projecte Mistral AI en quarantena, bloquejant eficaçment la distribució posterior de les versions malvades conegudes mentre continua la investigació. Aquesta mesura té com a objectiu contenir la propagació, tot i que qualsevol sistema que hagi instal·lat anteriorment les versions malicioses encara pot estar en risc.
Què fa el programari maliciós un cop arriba als sistemes dels desenvolupadors
Una vegada que el El fitxer de segona etapa transformers.pyz està en execució, la seva missió principal és recopilar informació sensible de l'entorn afectat. Microsoft i equips de seguretat independents descriuen el programari maliciós com un lladre de credencials, creat per exfiltrar dades d'autenticació de les quals depenen els desenvolupadors per gestionar el codi, els serveis al núvol i la infraestructura.
Els objectius de càrrega útil maliciosos credencials d'inici de sessió, tokens d'accés i altres secrets que permeten l'accés a plataformes com ara GitHub o npm, proveïdors de núvol, clústers de Kubernetes i servidors accessibles per SSH. En algunes anàlisis, també es va observar que el programari maliciós s'integrava en eines de desenvolupament, incloent-hi elements vinculats a l'execució automàtica en VS Code i hooks associats amb assistents de codi, per tal de mantenir la persistència i ampliar el seu abast.
L'empresa de seguretat Aikido Security i altres experts van advertir que, en molts casos, simplement desinstal·lar el paquet Mistral AI compromès no és suficient per netejar completament un sistema infectat. Un cop establert, el programari maliciós pot instal·lar components addicionals, modificar fitxers de configuració o configurar tasques automatitzades que continuen executant-se fins i tot després que s'hagi eliminat l'SDK original.
Un detall particularment preocupant és que, segons sembla, aquesta campanya va darrere dels gestors de contrasenyes com ara 1Password i BitwardenEn intentar accedir o interceptar dades associades amb aquestes eines, els atacants augmenten les seves possibilitats d'extreure una àmplia gamma de secrets d'una sola màquina compromesa, des d'inicis de sessió personals fins a comptes organitzatius amb alts privilegis.
Microsoft també va assenyalar que el programari maliciós inclou comportament sensible a la regió i a la llenguaEl codi intenta evitar sistemes configurats en rus i conté una lògica que pot eliminar aleatòriament fitxers en certes màquines que es creu que es troben a Israel o a l'Iran. Aquesta combinació d'evasió dirigida i capacitats destructives ha portat els analistes a tractar l'operació com més que una simple campanya genèrica de robatori de credencials.
Enllaços amb l'operació més àmplia de la cadena de subministrament de Shai-Hulud i TeamPCP
El compromís del paquet Mistral AI PyPI no és un incident aïllat. Diversos informes connecten aquesta activitat a un campanya de la cadena de subministrament més gran coneguda com a «Shai-Hulud», que ha estat actiu des de com a mínim el setembre i se centra en infectar ecosistemes de desenvolupadors manipulant paquets de confiança.
Sota el paraigua de Shai-Hulud, els atacants presumptament han utilitzat credencials de mantenidor robades o utilitzades de manera abusiva, configuracions incorrectes i defectes a les accions de GitHub per entrar en canals de publicació legítims. Un cop a dins, poden injectar codi maliciós als fitxers font i enviar versions signades i completament vàlides als registres de paquets, fent que les versions nocives siguin gairebé indistingibles de les actualitzacions autèntiques.
Una onada de la campanya, de vegades descrita com a Ofensiva «Mini Shai-Hulud», segons s'informa, va comprometre més de 170 paquets npm i almenys dos paquets a PyPI en un únic atac coordinat a la cadena de subministrament l'11 de maig de 2026. En total, els investigadors van comptabilitzar més de 400 versions malicioses publicades en aquests projectes, moltes d'elles relacionades amb eines d'IA i de codi obert àmpliament utilitzades.
El grup d'actors d'amenaces conegut com a El TeamPCP ha estat esmentat repetidament com la força darrere d'aquesta operació.El compte de la comunitat de seguretat VX-Underground va destacar a X que una versió completament armata del denominat "cuc Shai-Hulud Git" s'havia posat a disposició com a codi obert. Si fos exacte, aquesta mesura facilitaria que altres actors poguessin reutilitzar o adaptar les mateixes tècniques contra altres ecosistemes de programari.
El que fa que aquest tipus de campanya sigui especialment perillosa és la seva comportament d'autopropagació entre paquets relacionatsUn cop els atacants obtenen les credencials d'un mantenidor o projecte, els scripts automatitzats poden enumerar altres repositoris vinculats a aquesta identitat, injectar càrregues útils similars en múltiples bases de codi i tornar a publicar actualitzacions aparentment legítimes, convertint un únic compromís en una xarxa molt més àmplia de dependències enverinades.
La resposta de Mistral AI i l'angle de la cadena de subministrament relacionat amb TanStack
En un comunicat publicat al seu lloc web, Mistral AI va reconèixer que El llançament oficial de l'SDK a PyPI es va veure afectat per un atac a la cadena de subministrament connectat a un incident de seguretat més ampli que implicava TanStack. Segons l'empresa, un cuc automatitzat associat amb aquesta campanya va desencadenar la publicació de versions manipulades dels paquets npm i PyPI.
Mistral va indicar que les troballes actuals apunten a un dispositiu de desenvolupador compromès, en lloc d'una violació directa de la infraestructura principal de l'empresa. En aquesta fase de la investigació, Mistral diu que no té proves que els atacants hagin pres el control o alterat els seus sistemes interns o la infraestructura del model allotjat.
Això s'alinea amb el patró general observat en l'activitat relacionada amb Shai-Hulud, on Els atacants se centren en els punts finals dels desenvolupadors i les pipelines de CI/CD en lloc de fer-ho en centres de dades o servidors de producció. Abusant d'enllaços febles en màquines personals o fluxos de treball d'automatització mal configurats, poden injectar programari maliciós al punt exacte on es construeixen i signen binaris i paquets de confiança.
Tot i que això pot estalviar la infraestructura principal de Mistral, encara deixa exposats un gran nombre de desenvolupadors i organitzacions. Qualsevol equip que incorporés la versió compromesa de l'SDK als seus projectes potencialment... va integrar involuntàriament el codi maliciós en entorns de desenvolupament o producció, depenent de com i on s'hagi implementat el paquet.
L'empresa ara s'enfronta al repte de restaurar la confiança al voltant dels seus SDK i processos de compilació, en un moment en què La indústria de la IA està sota un intens escrutini pel que fa a la privadesa, la fiabilitat i la seguretat. Demostrar que les noves versions estan protegides contra atacs similars probablement serà una prioritat tant per a Mistral com per a altres proveïdors d'IA que observen de prop la situació.
Quines dades estan en risc i com haurien de respondre els desenvolupadors
Els investigadors de seguretat emfatitzen que l'objectiu final d'aquesta família de programari maliciós és recollir tantes credencials valuoses com sigui possible dels sistemes on aterra. Per als equips que treballen amb eines d'IA, això inclou tokens d'accés de GitHub, credencials npm, claus API al núvol, comptes de servei de Kubernetes, claus SSH i secrets utilitzats en pipelines de CI/CD.
Com que el programari maliciós intenta integrar-se en entorns de desenvolupament i en hooks d'automatització, el radi de l'explosió pot estendre's molt més enllà d'una sola estació de treballSi les credencials robades donen accés a repositoris de Git organitzatius, registres de paquets o implementacions al núvol, els atacants podrien moure's lateralment i manipular projectes o infraestructura addicionals.
Els experts i proveïdors de seguretat insten les organitzacions que puguin haver instal·lat alguna versió del paquet compromesa a prendre diverses mesures immediates. En primer lloc, els desenvolupadors haurien de rotar totes les credencials i els tokens rellevants, incloent-hi les claus de GitHub, npm i cloud, així com els secrets utilitzats pels servidors de compilació i les pipelines de desplegament.
A continuació, es recomana als equips que auditin els seus arbres de dependències, comprovant els "fitxers de bloqueig" i els manifestos dels paquets. versions que se sap que estan marcades com a maliciosesFixar les dependències a versions verificades i de confiança i evitar actualitzacions a cegues pot ajudar a limitar l'exposició quan es produeixin atacs similars a la cadena de subministrament en el futur.
Finalment, les organitzacions haurien de ser sistemàticament escanegen els seus sistemes per detectar signes d'infecció, inclosa la presència de fitxers sospitosos com ara transformers.pyz, connexions de xarxa inusuals a IP controlades per atacants i modificacions inesperades a la configuració de l'IDE, els hooks o les tasques programades. En casos d'alt risc, aïllar els hosts Linux afectats i reconstruir-los a partir d'imatges netes pot ser la mesura més segura.
Una crida d'atenció per a la seguretat de la cadena de subministrament de codi obert i la IA
L'incident de Mistral AI PyPI subratlla una tendència més àmplia: Els marcs d'IA i els ecosistemes de desenvolupadors s'han convertit en objectius principals per a atacants amb motivacions financeres i potencialment vinculats a l'estat. En lloc d'explotar directament les aplicacions dels usuaris finals, els adversaris apunten cada cop més a la cadena de subministrament de programari que sustenta els fluxos de treball de desenvolupament moderns.
En comprometre registres de paquets com PyPI i npm, els atacants poden arribar a milers o fins i tot milions de sistemes amb una sola violació reeixidaLa història recent ha demostrat que npm és especialment atractiu pel seu paper central en JavaScript, blockchain i projectes relacionats amb les criptomonedes, on s'han utilitzat paquets segrestats per redirigir transaccions de criptomonedes o plantar programari maliciós en bots de trading i eines de contractes intel·ligents.
En aquest context, la campanya vinculada a Shai-Hulud i TeamPCP és menys un xoc aïllat i més aviat una continuació d'un patró. Les mateixes tècniques que funcionen contra els ecosistemes JavaScript ara s'estan adaptant i refinant per dirigir-se a les piles d'IA basades en Python, amplificant la trampa de dependència dels LLM, on les possibles recompenses inclouen l'accés a codi de model d'alt valor, conjunts de dades propietaris i infraestructura corporativa sensible.
Per a la comunitat de la IA, la lliçó és incòmodament clara: el codi d'aprenentatge automàtic encara és només programari, i hereta totes les debilitats conegudes de les pràctiques de desenvolupament tradicionals. Per molt avançada que sigui l'arquitectura del model, les canonades insegures, la feble higiene del mantenidor i les dependències no verificades creen oportunitats fàcils per als atacants.
A mesura que les organitzacions continuen adoptant models de llenguatge amplis i integrant la IA en les operacions diàries, incidents com aquest estan posant la seguretat a l'avantguarda de les decisions arquitectòniques. Des de l'aplicació de controls més estrictes als comptes de mantenidors fins al desplegament de compilacions reproduïbles i llançaments signats, Les garanties de seguretat s'estan convertint en elements tan centrals per als projectes d'IA com les mètriques de precisió i els punts de referència de rendiment.
Vist des de la distància, el programari maliciós descobert al paquet Mistral AI PyPI serveix com un recordatori contundent que la confiança en els ecosistemes de programari és fràgil, especialment quan els atacants s'adrecen a les canonades invisibles en què els desenvolupadors confien cada dia. Enfortir aquests fonaments (mitjançant millors eines, una disciplina operativa més estricta i una col·laboració més estreta entre els proveïdors d'IA, els mantenidors i els equips de seguretat) serà crucial per evitar que els futurs atacs a la cadena de subministrament s'estenguin silenciosament a través dels mateixos marcs de treball destinats a impulsar la propera generació d'aplicacions intel·ligents.
