Mistral AI e TanStack sofrem ataque na cadeia de suprimentos com malware certificado pelo SLSA

Atacantes comprometeram o pacote oficial do Python da Mistral AI no PyPI junto com centenas de outros pacotes amplamente utilizados por desenvolvedores, expondo tokens do GitHub, credenciais de nuvem e cofres de senhas em todo o ecossistema de desenvolvedores de IA e criptomoedas.

A Microsoft Threat Intelligence afirmou em 11 de maio que estava investigando a versão 2.4.6 do pacote mistralai no PyPI após descobrir um código malicioso injetado em mistralai/client/init.py que executa na importação, baixando uma carga secundária de 83.142.209.194 para /tmp/transformers.pyz e iniciando-a em sistemas Linux.

A Microsoft está investigando o comprometimento da versão 2.4.6 do pacote mistralai no PyPI. Os atacantes injetaram código em mistralai/client/init.py que executa na importação, baixando hxxps://83[.]142[.]209[.]194/transformers.pyz para /tmp/transformers.pyz, e lançando uma carga de segunda fase em Linux.… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 12 de maio de 2026

O nome do arquivo imita o framework de IA Transformers, amplamente utilizado pela Hugging Face. O comprometimento do Mistral é uma peça de uma campanha coordenada que os pesquisadores chamam de Mini Shai-Hulud.

A plataforma de segurança SafeDep relatou que a operação comprometeu mais de 170 pacotes e publicou 404 versões maliciosas entre 11 e 12 de maio.

O ataque carrega a CVE-2026-45321 com uma pontuação CVSS de 9,6, classificando-o como de severidade crítica.

O modelo de confiança de proveniência SLSA acabou de ser quebrado

O que torna esse ataque estruturalmente sem precedentes: os pacotes maliciosos carregavam atestações válidas de proveniência SLSA Build Level 3.

A proveniência SLSA é um certificado criptográfico gerado pelo Sigstore, destinado a verificar se um pacote foi construído a partir de uma fonte confiável.

A Snyk relatou que o ataque TanStack é o primeiro caso documentado de pacotes npm maliciosos com proveniência SLSA válida, o que significa que as defesas baseadas em atestados na cadeia de suprimentos agora são demonstravelmente insuficientes.

Os atacantes, identificados como TeamPCP, encadearam três vulnerabilidades: uma má configuração do fluxo de trabalho pull_request_target, envenenamento de cache do GitHub Actions e extração de memória em tempo de execução de um token OIDC do processo do runner do GitHub Actions.

O commit malicioso foi criado sob uma identidade fabricada que impersonava o aplicativo GitHub Anthropic Claude, prefixado com [skip ci] para suprimir verificações automatizadas.

O que o malware rouba e como se espalha

Como a Cryptopolitan relatou no incidente do Trust Wallet em janeiro de 2026, ligado a perdas de US$ 8,5 milhões, o verme Shai-Hulud vem evoluindo em várias ondas desde setembro de 2025.

Esta última variante adiciona roubo de cofres de senhas, com pesquisadores da Wiz documentando que o malware agora mira cofres do 1Password e Bitwarden, além de chaves SSH, credenciais AWS e GCP, contas de serviço Kubernetes, tokens do GitHub e credenciais de publicação npm.

O ladrão exfiltra por três canais redundantes: um domínio typosquat (git-tanstack.com), a rede descentralizada de mensageiros Session, e repositórios do GitHub com tema Dune criados com tokens roubados.

O malware sai se detectar configurações de idioma em russo. Em sistemas geolocalizados em Israel ou Irã, há uma probabilidade de 1 em 6 de executar uma limpeza recursiva (rm -rf /).

Como a Mistral e o ecossistema mais amplo responderam

A Mistral publicou um aviso de segurança em 12 de maio dizendo que sua infraestrutura principal não foi comprometida. A empresa rastreou o incidente até um dispositivo de desenvolvedor comprometido ligado à campanha mais ampla da cadeia de suprimentos do TanStack.

O lançamento mistralai==2.4.6 foi enviado pouco depois da meia-noite UTC de 12 de maio, antes que o PyPI colocasse o projeto em quarentena.

Pacotes npm comprometidos, incluindo @mistralai/mistralai, @mistralai/mistralai-azure e @mistralai/mistralai-gcp, ficaram disponíveis por várias horas antes de serem removidos.

O volume total de downloads semanais dos pacotes comprometidos ultrapassa 518 milhões. @tanstack/react-router sozinho recebe 12,7 milhões de downloads semanais.

Desenvolvedores que instalaram versões afetadas são aconselhados a rotacionar credenciais de nuvem, tokens do GitHub, chaves SSH, trocar chaves de API e inspecionar os diretórios .claude/ e .vscode/ em busca de ganchos de persistência.

Se você está lendo isto, você já está à frente. Fique assim com nossa newsletter.