Mistral AI et TanStack victimes d'une attaque dans la chaîne d'approvisionnement avec un malware attesté par SLSA

Les attaquants ont compromis le package Python officiel de Mistral AI sur PyPI ainsi que des centaines d’autres packages largement utilisés par les développeurs, exposant des tokens GitHub, des identifiants cloud et des coffres-forts de mots de passe dans l’écosystème des développeurs en IA et crypto.

Microsoft Threat Intelligence a déclaré le 11 mai qu’ils enquêtaient sur la version 2.4.6 du package mistralai sur PyPI après avoir découvert un code malveillant injecté dans mistralai/client/init.py qui s’exécutait lors de l’importation, téléchargeant une charge utile secondaire depuis 83.142.209.194 vers /tmp/transformers.pyz et la lançant sur les systèmes Linux.

Microsoft enquête sur la compromission du package mistralai sur PyPI v2.4.6. Les attaquants ont injecté du code dans mistralai/client/init.py qui s’exécute lors de l’importation, téléchargeant hxxps://83[.]142[.]209[.]194/transformers.pyz vers /tmp/transformers.pyz, et lançant une charge utile de second stade sur Linux.… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 12 mai 2026

Le nom de fichier imite le framework d’IA Transformers de Hugging Face, très utilisé. La compromission de Mistral fait partie d’une campagne coordonnée que les chercheurs appellent Mini Shai-Hulud.

La plateforme de sécurité SafeDep a rapporté que l’opération a compromis plus de 170 packages et publié 404 versions malveillantes entre le 11 et le 12 mai.

L’attaque porte la CVE-2026-45321 avec un score CVSS de 9,6, la classant comme critique.

Le modèle de confiance de provenance SLSA vient de se briser

Ce qui rend cette attaque structurellement sans précédent : les packages malveillants portaient des attestations de provenance SLSA Build Level 3 valides.

La provenance SLSA est un certificat cryptographique généré par Sigstore destiné à vérifier qu’un package a été construit à partir d’une source fiable.

Snyk a rapporté que l’attaque TanStack est le premier cas documenté de packages npm malveillants avec une provenance SLSA valide, ce qui signifie que les défenses de la chaîne d’approvisionnement basées sur l’attestation sont désormais manifestement insuffisantes.

Les attaquants, identifiés comme TeamPCP, ont enchaîné trois vulnérabilités : une mauvaise configuration du workflow pull_request_target, un empoisonnement du cache GitHub Actions, et une extraction en temps d’exécution d’un jeton OIDC depuis le processus du runner GitHub Actions.

Le commit malveillant a été créé sous une identité falsifiée imitant l’application GitHub Anthropic Claude, précédée de [skip ci] pour supprimer les vérifications automatisées.

Ce que le malware vole et comment il se propage

Comme Cryptopolitan l’a rapporté lors de l’incident Trust Wallet de janvier 2026 lié à une perte de 8,5 millions de dollars, le ver Shai-Hulud a évolué à travers plusieurs vagues depuis septembre 2025.

Cette dernière variante ajoute le vol de coffres-forts de mots de passe, avec des chercheurs de Wiz documentant que le malware cible désormais les coffres 1Password et Bitwarden, ainsi que les clés SSH, identifiants AWS et GCP, comptes de service Kubernetes, tokens GitHub, et identifiants de publication npm.

Le voleur exfiltre via trois canaux redondants : un domaine typosquatté (git-tanstack.com), le réseau décentralisé de messagerie Session, et des dépôts GitHub à thème Dune créés avec des tokens volés.

Le malware quitte si des paramètres de langue russe sont détectés. Sur des systèmes géolocalisés en Israël ou en Iran, il introduit une probabilité de 1 sur 6 d’exécuter une suppression récursive (rm -rf /).

Comment Mistral et l’écosystème plus large ont réagi

Mistral a publié un avis de sécurité le 12 mai indiquant que son infrastructure principale n’avait pas été compromise. La société a retracé l’incident à un appareil de développement compromis lié à la campagne de chaîne d’approvisionnement TanStack.

La version mistralai==2.4.6 a été téléchargée peu après minuit UTC le 12 mai, avant que PyPI ne mette le projet en quarantaine.

Des packages npm compromis, notamment @mistralai/mistralai, @mistralai/mistralai-azure, et @mistralai/mistralai-gcp, ont été disponibles pendant plusieurs heures avant leur suppression.

Le volume total de téléchargements hebdomadaires des packages compromis dépasse 518 millions. @tanstack/react-router seul reçoit 12,7 millions de téléchargements hebdomadaires.

Les développeurs ayant installé ces versions affectées sont conseillés de faire pivoter leurs identifiants cloud, tokens GitHub, clés SSH, et d’échanger leurs clés API, ainsi que d’inspecter les répertoires .claude/ et .vscode/ pour détecter toute persistance.

Si vous lisez ceci, vous avez déjà une longueur d’avance. Restez-y avec notre newsletter.