攻擊者入侵了 PyPI 上的官方 Mistral AI Python 套件以及數百個其他廣泛使用的開發者套件,曝光了 GitHub 令牌、雲端憑證和密碼保險庫,影響範圍涵蓋 AI 和加密開發者生態系統。
微軟威脅情報於5月11日表示,正在調查 mistralai PyPI 套件版本2.4.6,因為在 mistralai/client/init.py 中發現了惡意代碼注入,該代碼在導入時執行,從83.142.209.194下載次級載荷到 /tmp/transformers.pyz 並在 Linux 系統上啟動。
微軟正在調查 mistralai PyPI 套件 v2.4.6 被攻破的事件。攻擊者在 mistralai/client/init.py 中注入了在導入時執行的代碼,下載 hxxps://83[.]142[.]209[.]194/transformers.pyz 到 /tmp/transformers.pyz,並在 Linux 上啟動第二階段載荷…… pic.twitter.com/9Xfb07Hcia
— 微軟威脅情報 (@MsftSecIntel) 2026年5月12日
該文件名模仿了 Hugging Face 廣泛使用的 Transformers AI 框架。Mistral 被攻破事件是研究人員稱之為 Mini Shai-Hulud 的協調行動的一部分。
安全平台 SafeDep 報告稱,該行動在5月11日至12日期間,破壞了超過170個套件,並發布了404個惡意版本。
此次攻擊涉及 CVE-2026-45321,CVSS 評分為9.6,屬於嚴重等級。
SLSA 溯源信任模型剛剛被打破
使這次攻擊在結構上前所未有的原因是:惡意套件攜帶了有效的 SLSA Build Level 3 溯源證明。
SLSA 溯源是一種由 Sigstore 生成的加密證書,用於驗證套件是否由可信來源構建。
Snyk 報告稱,TanStack 攻擊是首個具有有效 SLSA 溯源的惡意 npm 套件的案例,這意味著基於證明的供應鏈防禦措施現在已經明顯不足。
攻擊者,識別為 TeamPCP,串聯了三個漏洞:pull_request_target 工作流程配置錯誤、GitHub Actions 緩存中毒,以及從 GitHub Actions 運行器進程中運行時提取 OIDC 令牌的漏洞。
惡意提交由一個偽造身份簽署,冒充 Anthropic Claude GitHub 應用,並在提交前加上 [skip ci] 以抑制自動檢查。
惡意軟件竊取的內容及其傳播方式
正如 Cryptopolitan 在2026年1月的 Trust Wallet 事件中報導的,該事件涉及損失8.5百萬美元,Shai-Hulud 蠕蟲自2025年9月起經歷多次演變。
最新變體加入了密碼保險庫盜竊功能,Wiz 的研究人員記錄到該惡意軟件現在針對 1Password 和 Bitwarden 保險庫,以及 SSH 密鑰、AWS 和 GCP 憑證、Kubernetes 服務帳戶、GitHub 令牌和 npm 發佈憑證。
該竊取工具通過三個冗餘通道進行數據外洩:一個拼寫錯誤的域名(git-tanstack.com)、去中心化的 Session 訊息傳遞網絡,以及用被盜令牌創建的 Dune 主題 GitHub 儲存庫。
如果偵測到俄語設置,惡意軟件會退出。在以色列或伊朗的系統上,它有1/6的概率執行遞歸清除(rm -rf /)。
Mistral 和更廣泛生態系統的回應
Mistral 在5月12日發布安全建議,表示其核心基礎設施未被破壞。公司追蹤事件源於一台與更廣泛的 TanStack 供應鏈行動相關的被攻破的開發者設備。
mistralai==2.4.6 版本於5月12日UTC午夜前後上傳,之後 PyPI 將該專案列入隔離。
被破壞的 npm 套件,包括 @mistralai/mistralai、@mistralai/mistralai-azure 和 @mistralai/mistralai-gcp,在被移除前仍可用數小時。
被破壞套件的每週總下載量超過5.18億次。@tanstack/react-router 每週僅此一個就有1270萬次下載。
建議受影響版本的開發者立即輪換雲端憑證、GitHub 令牌、SSH 密鑰,並檢查 .claude/ 和 .vscode/ 目錄是否存在持久化鉤子。
如果你正在閱讀這篇文章,你已經領先一步。請持續關注我們的電子報。
166.33萬 熱度
36.03萬 熱度
12.99萬 熱度
60.65萬 熱度
100.85萬 熱度
Mistral AI 和 TanStack 在供應鏈攻擊中遭遇帶有 SLSA 證明的惡意軟件
攻擊者入侵了 PyPI 上的官方 Mistral AI Python 套件以及數百個其他廣泛使用的開發者套件,曝光了 GitHub 令牌、雲端憑證和密碼保險庫,影響範圍涵蓋 AI 和加密開發者生態系統。
微軟威脅情報於5月11日表示,正在調查 mistralai PyPI 套件版本2.4.6,因為在 mistralai/client/init.py 中發現了惡意代碼注入,該代碼在導入時執行,從83.142.209.194下載次級載荷到 /tmp/transformers.pyz 並在 Linux 系統上啟動。
微軟正在調查 mistralai PyPI 套件 v2.4.6 被攻破的事件。攻擊者在 mistralai/client/init.py 中注入了在導入時執行的代碼,下載 hxxps://83[.]142[.]209[.]194/transformers.pyz 到 /tmp/transformers.pyz,並在 Linux 上啟動第二階段載荷…… pic.twitter.com/9Xfb07Hcia
— 微軟威脅情報 (@MsftSecIntel) 2026年5月12日
該文件名模仿了 Hugging Face 廣泛使用的 Transformers AI 框架。Mistral 被攻破事件是研究人員稱之為 Mini Shai-Hulud 的協調行動的一部分。
安全平台 SafeDep 報告稱,該行動在5月11日至12日期間,破壞了超過170個套件,並發布了404個惡意版本。
此次攻擊涉及 CVE-2026-45321,CVSS 評分為9.6,屬於嚴重等級。
SLSA 溯源信任模型剛剛被打破
使這次攻擊在結構上前所未有的原因是:惡意套件攜帶了有效的 SLSA Build Level 3 溯源證明。
SLSA 溯源是一種由 Sigstore 生成的加密證書,用於驗證套件是否由可信來源構建。
Snyk 報告稱,TanStack 攻擊是首個具有有效 SLSA 溯源的惡意 npm 套件的案例,這意味著基於證明的供應鏈防禦措施現在已經明顯不足。
攻擊者,識別為 TeamPCP,串聯了三個漏洞:pull_request_target 工作流程配置錯誤、GitHub Actions 緩存中毒,以及從 GitHub Actions 運行器進程中運行時提取 OIDC 令牌的漏洞。
惡意提交由一個偽造身份簽署,冒充 Anthropic Claude GitHub 應用,並在提交前加上 [skip ci] 以抑制自動檢查。
惡意軟件竊取的內容及其傳播方式
正如 Cryptopolitan 在2026年1月的 Trust Wallet 事件中報導的,該事件涉及損失8.5百萬美元,Shai-Hulud 蠕蟲自2025年9月起經歷多次演變。
最新變體加入了密碼保險庫盜竊功能,Wiz 的研究人員記錄到該惡意軟件現在針對 1Password 和 Bitwarden 保險庫,以及 SSH 密鑰、AWS 和 GCP 憑證、Kubernetes 服務帳戶、GitHub 令牌和 npm 發佈憑證。
該竊取工具通過三個冗餘通道進行數據外洩:一個拼寫錯誤的域名(git-tanstack.com)、去中心化的 Session 訊息傳遞網絡,以及用被盜令牌創建的 Dune 主題 GitHub 儲存庫。
如果偵測到俄語設置,惡意軟件會退出。在以色列或伊朗的系統上,它有1/6的概率執行遞歸清除(rm -rf /)。
Mistral 和更廣泛生態系統的回應
Mistral 在5月12日發布安全建議,表示其核心基礎設施未被破壞。公司追蹤事件源於一台與更廣泛的 TanStack 供應鏈行動相關的被攻破的開發者設備。
mistralai==2.4.6 版本於5月12日UTC午夜前後上傳,之後 PyPI 將該專案列入隔離。
被破壞的 npm 套件,包括 @mistralai/mistralai、@mistralai/mistralai-azure 和 @mistralai/mistralai-gcp,在被移除前仍可用數小時。
被破壞套件的每週總下載量超過5.18億次。@tanstack/react-router 每週僅此一個就有1270萬次下載。
建議受影響版本的開發者立即輪換雲端憑證、GitHub 令牌、SSH 密鑰,並檢查 .claude/ 和 .vscode/ 目錄是否存在持久化鉤子。
如果你正在閱讀這篇文章,你已經領先一步。請持續關注我們的電子報。