Mistral AI dan TanStack terkena serangan rantai pasokan dengan malware bersertifikasi SLSA

Penyerang mengompromikan paket Python resmi Mistral AI di PyPI bersama dengan ratusan paket pengembang lain yang banyak digunakan, mengekspos token GitHub, kredensial cloud, dan vault password di seluruh ekosistem pengembang AI dan kripto.

Microsoft Threat Intelligence mengatakan pada 11 Mei, mereka sedang menyelidiki versi paket mistralai PyPI 2.4.6 setelah menemukan kode berbahaya yang disuntikkan di mistralai/client/init.py yang dieksekusi saat impor, mengunduh payload sekunder dari 83.142.209.194 ke /tmp/transformers.pyz dan meluncurkannya di sistem Linux.

Microsoft sedang menyelidiki kompromi paket mistralai PyPI v2.4.6. Penyerang menyuntikkan kode di mistralai/client/init.py yang dieksekusi saat impor, mengunduh hxxps://83[.]142[.]209[.]194/transformers.pyz ke /tmp/transformers.pyz, dan meluncurkan payload tahap kedua di Linux.… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 12 Mei 2026

Nama file tersebut menyamar sebagai kerangka kerja AI Transformers yang banyak digunakan dari Hugging Face. Kompromi Mistral adalah satu bagian dari kampanye terkoordinasi yang disebut para peneliti sebagai Mini Shai-Hulud.

Platform keamanan SafeDep melaporkan bahwa operasi ini mengompromikan lebih dari 170 paket dan menerbitkan 404 versi berbahaya antara 11 dan 12 Mei.

Serangan ini membawa CVE-2026-45321 dengan skor CVSS 9.6, menilai tingkat keparahannya kritis.

Model kepercayaan asal-usul SLSA baru saja rusak

Apa yang membuat serangan ini secara struktural belum pernah terjadi sebelumnya: paket berbahaya tersebut membawa attestasi asal-usul SLSA Build Level 3 yang valid.

SLSA provenance adalah sertifikat kriptografi yang dihasilkan oleh Sigstore yang bertujuan memverifikasi bahwa sebuah paket dibangun dari sumber yang terpercaya.

Snyk melaporkan bahwa serangan TanStack adalah kasus pertama yang terdokumentasi dari paket npm berbahaya dengan asal-usul SLSA yang valid, yang berarti pertahanan rantai pasokan berbasis attestasi kini terbukti tidak cukup.

Penyerang, yang diidentifikasi sebagai TeamPCP, menggabungkan tiga kerentanan: mis konfigurasi workflow pull_request_target, pencemaran cache GitHub Actions, dan ekstraksi memori runtime dari token OIDC dari proses runner GitHub Actions.

Commit berbahaya tersebut dibuat dengan identitas palsu yang menyamar sebagai aplikasi GitHub Anthropic Claude, diawali dengan [skip ci] untuk menekan pemeriksaan otomatis.

Apa yang dicuri malware dan bagaimana menyebarnya

Seperti yang dilaporkan Cryptopolitan pada insiden Trust Wallet Januari 2026 yang terkait dengan kerugian sebesar $8,5 juta, worm Shai-Hulud telah berkembang melalui beberapa gelombang sejak September 2025.

Varian terbaru ini menambahkan pencurian vault password, dengan peneliti Wiz mendokumentasikan bahwa malware kini menargetkan vault 1Password dan Bitwarden bersama dengan kunci SSH, kredensial AWS dan GCP, akun layanan Kubernetes, token GitHub, dan kredensial penerbitan npm.

Stealer mengekstrak data melalui tiga saluran redundan: domain typosquat (git-tanstack.com), jaringan messenger Session terdesentralisasi, dan repositori GitHub bertema Dune yang dibuat dengan token yang dicuri.

Malware ini keluar jika terdeteksi pengaturan bahasa Rusia. Pada sistem yang berlokasi di Israel atau Iran, malware ini memiliki probabilitas 1 banding 6 untuk menjalankan wipe rekursif (rm -rf /).

Bagaimana Mistral dan ekosistem yang lebih luas merespons

Mistral menerbitkan nasihat keamanan pada 12 Mei yang menyatakan infrastruktur intinya tidak dikompromikan. Perusahaan melacak insiden ini ke perangkat pengembang yang dikompromikan yang terkait dengan kampanye rantai pasokan TanStack yang lebih luas.

Rilis mistralai==2.4.6 diunggah tak lama setelah tengah malam UTC pada 12 Mei, sebelum PyPI mengkarantina proyek tersebut.

Paket npm yang dikompromikan, termasuk @mistralai/mistralai, @mistralai/mistralai-azure, dan @mistralai/mistralai-gcp, tersedia selama beberapa jam sebelum dihapus.

Volume unduhan mingguan kumulatif dari paket yang dikompromikan melebihi 518 juta. @tanstack/react-router saja menerima 12,7 juta unduhan mingguan.

Pengembang yang menginstal versi yang terpengaruh disarankan untuk memutar ulang kredensial cloud, token GitHub, kunci SSH, dan menukar API key, serta memeriksa direktori .claude/ dan .vscode/ untuk keberadaan hook persistensi.

Jika Anda membaca ini, Anda sudah selangkah lebih maju. Tetap di sana dengan buletin kami.