Mistral AI и TanStack подверглись атаке в цепочке поставок с использованием вредоносного ПО, подтвержденного SLSA

Атакующие скомпрометировали официальный пакет Python Mistral AI на PyPI вместе с сотнями других широко используемых пакетов для разработчиков, раскрывая токены GitHub, облачные учетные данные и хранилища паролей по всему экосистеме разработчиков ИИ и криптовалют.

Microsoft Threat Intelligence сообщил 11 мая, что он расследует версию пакета mistralai PyPI 2.4.6 после обнаружения вредоносного кода, внедренного в mistralai/client/init.py, который выполняется при импорте, скачивая вторичный полезный груз с 83.142.209.194 в /tmp/transformers.pyz и запускающего его на системах Linux.

Microsoft расследует компрометацию пакета mistralai PyPI v2.4.6. Атакующие внедрили код в mistralai/client/init.py, который выполняется при импорте, скачивает hxxps://83[.]142[.]209[.]194/transformers.pyz в /tmp/transformers.pyz и запускает вторичный полезный груз на Linux.… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 12 мая 2026

Имя файла маскируется под широко используемый фреймворк Transformers от Hugging Face. Компрометация Mistral — это одна часть скоординированной кампании, которую исследователи называют Mini Shai-Hulud.

Платформа безопасности SafeDep сообщила, что операция скомпрометировала более 170 пакетов и опубликовала 404 вредоносных версии между 11 и 12 мая.

Атака носит CVE-2026-45321 с оценкой CVSS 9.6, что делает ее критической по степени опасности.

Модель доверия происхождения SLSA только что сломалась

Что делает эту атаку структурно беспрецедентной: вредоносные пакеты содержали действительные подтверждения происхождения SLSA уровня Build Level 3.

Происхождение SLSA — это криптографический сертификат, созданный Sigstore, предназначенный для подтверждения, что пакет был собран из доверенного источника.

Snyk сообщил, что атака TanStack — первый задокументированный случай вредоносных npm-пакетов с действительным подтверждением SLSA, что означает, что защиты цепочки поставок на основе аттестации теперь явно недостаточны.

Атакующие, известные как TeamPCP, связали три уязвимости: неправильная настройка workflow pull_request_target, отравление кэша GitHub Actions и извлечение токена OIDC из процесса GitHub Actions runner во время выполнения.

Вредоносный коммит был создан под вымышленной личностью, выдающей себя за приложение Anthropic Claude GitHub, с префиксом [skip ci], чтобы подавить автоматические проверки.

Что делает malware и как оно распространяется

Как сообщило Cryptopolitan о инциденте Trust Wallet в январе 2026 года, связанного с потерями на сумму 8,5 миллиона долларов, червь Shai-Hulud эволюционировал в нескольких волнах с сентября 2025 года.

Этот последний вариант добавляет кражу паролей из хранилищ, при этом исследователи Wiz задокументировали, что вредоносное ПО теперь нацелено на хранилища 1Password и Bitwarden, а также на SSH-ключи, учетные данные AWS и GCP, сервисные аккаунты Kubernetes, токены GitHub и учетные данные для публикации npm.

Кража передается через три резервных канала: домен с ошибкой в написании (git-tanstack.com), децентрализованную сеть обмена сообщениями Session и репозитории GitHub, созданные с украденными токенами.

Малварь прекращает работу, если обнаружены настройки языка на русском. На системах, геолокация которых — Израиль или Иран, вероятность рекурсивной очистки (rm -rf /) составляет 1 из 6.

Как Mistral и более широкая экосистема отреагировали

Mistral опубликовала совет по безопасности 12 мая, заявив, что их основная инфраструктура не была скомпрометирована. Компания проследила инцидент до скомпрометированного устройства разработчика, связанного с более широкой кампанией цепочки поставок TanStack.

Релиз mistralai==2.4.6 был загружен вскоре после полуночи по всемирному времени 12 мая, до того как PyPI поместила проект в карантин.

Скомпрометированные npm-пакеты, включая @mistralai/mistralai, @mistralai/mistralai-azure и @mistralai/mistralai-gcp, были доступны несколько часов до их удаления.

Общий объем загрузок скомпрометированных пакетов за неделю превышает 518 миллионов. Только @tanstack/react-router получает 12,7 миллиона загрузок в неделю.

Разработчикам, установившим уязвимые версии, рекомендуется сменить облачные учетные данные, токены GitHub, SSH-ключи и обменяться API-ключами, а также проверить директории .claude/ и .vscode/ на наличие постоянных хуков.

Если вы читаете это, вы уже на шаг впереди. Оставайтесь с нами с помощью нашей рассылки.