Mistral AI та TanStack зазнали атаки у ланцюгу постачання з використанням шкідливого програмного забезпечення, підтвердженого SLSA

Зловмисники зламали офіційний пакет Python Mistral AI на PyPI разом із сотнями інших широко використовуваних пакетів для розробників, викривши токени GitHub, облікові дані хмарних сервісів та сейфи паролів у всій екосистемі розробників AI та крипто.

Microsoft Threat Intelligence повідомила 11 травня, що вони розслідують версію пакета mistralai PyPI 2.4.6 після виявлення зловмисного коду, вставленого у mistralai/client/init.py, який виконується при імпорті, завантажуючи вторинний шкідливий файл з 83.142.209.194 до /tmp/transformers.pyz і запускуючи його на системах Linux.

Microsoft розслідує компрометацію пакета mistralai PyPI v2.4.6. Зловмисники вставили код у mistralai/client/init.py, який виконується при імпорті, завантажує hxxps://83[.]142[.]209[.]194/transformers.pyz до /tmp/transformers.pyz і запускає другий етап шкідливого коду на Linux.… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 12 травня 2026

Назва файлу імітує широко використовуваний фреймворк Transformers AI від Hugging Face. Компрометація Mistral є однією частиною скоординованої кампанії, яку дослідники називають Mini Shai-Hulud.

Платформа безпеки SafeDep повідомила, що операція скомпрометувала понад 170 пакетів і опублікувала 404 шкідливі версії між 11 і 12 травня.

Атака має CVE-2026-45321 із оцінкою CVSS 9.6, що класифікує її як критичну.

Модель довіри до походження SLSA щойно зламано

Що робить цю атаку структурно безпрецедентною: зловмисні пакети містили дійсні підтвердження походження SLSA рівня 3.

Підтвердження походження SLSA — це криптографічний сертифікат, створений Sigstore, який має підтвердити, що пакет був зібраний із довіреного джерела.

Snyk повідомила, що атака TanStack є першим задокументованим випадком зловмисних npm-пакетів із дійсним підтвердженням SLSA, що означає, що захист ланцюга поставок на основі атестацій тепер явно недостатній.

Зловмисники, ідентифіковані як TeamPCP, зчепили три вразливості: неправильна конфігурація workflow pull_request_target, отруєння кешу GitHub Actions і вилучення пам’яті під час виконання токена OIDC з процесу GitHub Actions runner.

Зловмисний коміт був створений під фальшивою особистістю, яка імітує додаток Anthropic Claude GitHub, з префіксом [skip ci], щоб приглушити автоматичні перевірки.

Що краде і як поширюється malware

Як повідомив Cryptopolitan щодо інциденту Trust Wallet у січні 2026 року, що пов’язаний із втратами на суму 8,5 мільйонів доларів, черв’як Shai-Hulud еволюціонував у кілька хвиль з вересня 2025 року.

Цей останній варіант додає крадіжку сейфів паролів, при цьому дослідники Wiz задокументували, що malware тепер цілиться на сейфи 1Password і Bitwarden разом із ключами SSH, обліковими даними AWS і GCP, обліковими записами Kubernetes, токенами GitHub і обліковими даними для публікації npm.

Зловмисник вивантажує дані через три резервні канали: домен з помилкою (git-tanstack.com), децентралізовану мережу месенджерів Session і репозиторії GitHub із темою Dune, створені з викраденими токенами.

Малваре завершує роботу, якщо виявляє налаштування російської мови. На системах, геолокація яких вказує на Ізраїль або Іран, існує 1 із 6 шансів на запуск рекурсивного очищення (rm -rf /).

Як Mistral і широка екосистема реагували

Mistral опублікувала рекомендацію з безпеки 12 травня, заявивши, що її основна інфраструктура не була зламаною. Компанія простежила інцидент до зламаного пристрою розробника, пов’язаного із ширшою кампанією ланцюга поставок TanStack.

Реліз mistralai==2.4.6 був завантажений незадовго до опівночі за UTC 12 травня, перед тим як PyPI ізолювала проект.

Зламані npm-пакети, включаючи @mistralai/mistralai, @mistralai/mistralai-azure і @mistralai/mistralai-gcp, були доступні кілька годин до їх видалення.

Загальний обсяг завантажень зкомпрометованих пакетів за тиждень перевищує 518 мільйонів. @tanstack/react-router сам по собі отримує 12,7 мільйонів щотижневих завантажень.

Розробникам, які встановили уразливі версії, рекомендується змінити облікові дані хмарних сервісів, токени GitHub, ключі SSH, а також перевірити каталоги .claude/ і .vscode/ на наявність слідів зловмисної активності.

Якщо ви читаєте це, ви вже на крок попереду. Залишайтеся з нами з нашим інформаційним бюлетенем.