攻撃者はPyPIの公式Mistral AI Pythonパッケージと他の数百の広く使用されている開発者向けパッケージを侵害し、GitHubトークン、クラウド認証情報、パスワード保管庫を含む情報を露出させ、AIおよび暗号通貨開発者エコシステムに影響を与えました。
Microsoft Threat Intelligenceは5月11日に、mistralai PyPIパッケージバージョン2.4.6の調査を行っていると発表し、mistralai/client/init.pyに注入された悪意のあるコードを発見しました。このコードはインポート時に実行され、83.142.209.194から二次ペイロードをダウンロードし、/tmp/transformers.pyzに保存してLinuxシステム上で起動します。
Mistral AIとTanStackがSLSA認証済みマルウェアによるサプライチェーン攻撃を受ける
攻撃者はPyPIの公式Mistral AI Pythonパッケージと他の数百の広く使用されている開発者向けパッケージを侵害し、GitHubトークン、クラウド認証情報、パスワード保管庫を含む情報を露出させ、AIおよび暗号通貨開発者エコシステムに影響を与えました。
Microsoft Threat Intelligenceは5月11日に、mistralai PyPIパッケージバージョン2.4.6の調査を行っていると発表し、mistralai/client/init.pyに注入された悪意のあるコードを発見しました。このコードはインポート時に実行され、83.142.209.194から二次ペイロードをダウンロードし、/tmp/transformers.pyzに保存してLinuxシステム上で起動します。
Microsoftはmistralai PyPIパッケージv2.4.6の侵害を調査中です。攻撃者はmistralai/client/init.pyにコードを注入し、hxxps://83[.]142[.]209[.]194/transformers.pyzを/tmp/transformers.pyzにダウンロードさせ、Linux上で第2段階のペイロードを起動させました。… pic.twitter.com/9Xfb07Hcia
— Microsoft Threat Intelligence (@MsftSecIntel) 2026年5月12日
ファイル名はHugging Faceの広く使われているTransformers AIフレームワークを偽装しています。Mistralの侵害は、研究者たちがMini Shai-Huludと呼ぶ協調キャンペーンの一部です。
Security platform SafeDepは、5月11日から12日にかけて170以上のパッケージが侵害され、404の悪意のあるバージョンが公開されたと報告しました。
この攻撃はCVE-2026-45321を伴い、CVSSスコアは9.6で、重大な脅威と評価されています。
SLSAの由来信頼モデルが破損
この攻撃の構造的に前例のない点は、悪意のあるパッケージが有効なSLSA Build Level 3の由来証明を持っていたことです。
SLSAの由来は、Sigstoreによって生成される暗号証明書であり、パッケージが信頼できるソースからビルドされたことを検証するためのものです。
Snykは、TanStack攻撃が有効なSLSA由来証明を持つ悪意のあるnpmパッケージの最初の記録例であると報告しており、証明に基づくサプライチェーン防御が現在は十分でないことを示しています。
攻撃者はTeamPCPと特定され、3つの脆弱性を連鎖させました:pull_request_targetワークフローの誤設定、GitHub Actionsのキャッシュ汚染、そしてGitHub ActionsランナーのプロセスからのOIDCトークンのランタイムメモリ抽出です。
悪意のあるコミットは、Anthropic Claude GitHubアプリを偽装した架空の身分で作成され、[skip ci]が付加されて自動チェックを抑制しました。
マルウェアが盗むものと拡散方法
Cryptopolitanが2026年1月のTrust Wallet事件と関連付けて報告したところによると、Shai-Huludワームは2025年9月以降、複数の波にわたって進化しています。
最新のバリアントはパスワード保管庫の窃盗を追加し、Wizの研究者はマルウェアが1PasswordやBitwardenの保管庫、SSHキー、AWSおよびGCPの認証情報、Kubernetesのサービスアカウント、GitHubトークン、npm公開認証情報をターゲットにしていると記録しています。
このステーラーは、タイプミスドメイン(git-tanstack.com)、分散型セッションメッセンジャーネットワーク、盗用したトークンを用いて作成されたDuneテーマのGitHubリポジトリの3つの冗長チャネルを通じて情報を外部に送信します。
マルウェアはロシア語設定が検出されると終了します。イスラエルやイランに地理的に位置するシステムでは、再帰的な消去(rm -rf /)を実行する確率が1/6に引き上げられています。
Mistralと広範なエコシステムの対応
Mistralは5月12日にセキュリティアドバイザリを公開し、コアインフラは侵害されていないと述べました。同社はこの事件を、より広範なTanStackサプライチェーンキャンペーンに関連付けられる侵害された開発者デバイスに起因すると特定しました。
mistralai==2.4.6のリリースは、5月12日UTC深夜直前にアップロードされ、その後PyPIによって隔離されました。
侵害されたnpmパッケージには、@mistralai/mistralai、@mistralai/mistralai-azure、@mistralai/mistralai-gcpなどが含まれ、数時間後に削除されました。
侵害されたパッケージの週次総ダウンロード数は5億1800万を超え、@tanstack/react-routerだけでも1270万回の週次ダウンロードがあります。
影響を受けたバージョンをインストールした開発者は、クラウド認証情報、GitHubトークン、SSHキーのローテーション、APIキーの交換、.claude/や.vscode/ディレクトリの持続性フックの検査を推奨されます。
これを読んでいるあなたはすでに一歩リードしています。私たちのニュースレターでそのまま先を行きましょう。