攻击者在PyPI上攻破官方的Mistral AI Python包以及数百个其他广泛使用的开发者包,暴露了GitHub令牌、云端凭证和密码保险库,影响了AI和加密开发者生态系统。
微软威胁情报部门在5月11日表示,正在调查mistralai PyPI包版本2.4.6,发现恶意代码注入到mistralai/client/init.py中,该代码在导入时执行,从83.142.209.194下载二级载荷到/tmp/transformers.pyz,并在Linux系统上启动。
微软正在调查mistralai PyPI包v2.4.6被攻破的事件。攻击者在mistralai/client/init.py中注入代码,在导入时执行,下载hxxps://83[.]142[.]209[.]194/transformers.pyz到/tmp/transformers.pyz,并在Linux上启动二阶段载荷…… pic.twitter.com/9Xfb07Hcia
— 微软威胁情报 (@MsftSecIntel) 2026年5月12日
文件名模仿了Hugging Face广泛使用的Transformers AI框架。Mistral的被攻破事件是研究人员称之为Mini Shai-Hulud的协调行动中的一部分。
安全平台SafeDep报告称,该行动在5月11日至12日期间,破坏了超过170个包,并发布了404个恶意版本。
此次攻击携带CVE-2026-45321,CVSS评分为9.6,评级为严重。
SLSA溯源信任模型刚刚被打破
这次攻击在结构上前所未有的原因在于:恶意包携带了有效的SLSA Build Level 3溯源证明。
SLSA溯源是由Sigstore生成的加密证书,旨在验证包是否由可信源构建。
Snyk报告称,TanStack攻击是首个具有有效SLSA溯源的恶意npm包的已知案例,这意味着基于证明的供应链防护措施现在已明显不足。
攻击者被识别为TeamPCP,串联了三处漏洞:pull_request_target工作流配置错误、GitHub Actions缓存中毒,以及从GitHub Actions运行器进程中运行时提取OIDC令牌。
恶意提交由伪造身份(冒充Anthropic Claude GitHub应用)作者创建,前缀为[skip ci]以抑制自动检测。
恶意软件窃取的内容及其传播方式
正如Cryptopolitan在2026年1月的Trust Wallet事件中报道的那样,涉及850万美元损失,Shai-Hulud蠕虫自2025年9月起经历了多次演变。
最新变体增加了密码保险库盗窃功能,Wiz的研究人员记录到该恶意软件现在针对1Password和Bitwarden保险库,以及SSH密钥、AWS和GCP凭证、Kubernetes服务账户、GitHub令牌和npm发布凭证。
窃取者通过三条冗余渠道进行数据外泄:拼写错误域名(git-tanstack.com)、去中心化的Session消息网络,以及用被盗令牌创建的Dune主题GitHub仓库。
如果检测到俄语设置,恶意软件会退出。在以色列或伊朗的系统上,它会以1/6的概率执行递归清除(rm -rf /)。
Mistral及更广泛生态系统的应对措施
Mistral在5月12日发布安全公告,称其核心基础设施未被攻破。公司追踪事件源头为与更广泛的TanStack供应链行动相关的被攻破的开发者设备。
mistralai==2.4.6版本在UTC时间5月12日午夜前后上传,随后PyPI对该项目进行了隔离。
被攻破的npm包,包括@mistralai/mistralai、@mistralai/mistralai-azure和@mistralai/mistralai-gcp,在被移除前仍可用数小时。
被攻破包的累计每周下载量超过5.18亿。仅@tanstack/react-router每周就获得1270万次下载。
安装了受影响版本的开发者被建议轮换云端凭证、GitHub令牌、SSH密钥,并检查.claude/和.vscode/目录以查找持久化钩子。
如果你正在阅读这篇文章,你已经领先一步。请继续关注我们的新闻简报。
166.33万 热度
36.03万 热度
12.99万 热度
60.65万 热度
100.85万 热度
Mistral AI 和 TanStack 在供应链攻击中遭遇带有 SLSA 认证的恶意软件
攻击者在PyPI上攻破官方的Mistral AI Python包以及数百个其他广泛使用的开发者包,暴露了GitHub令牌、云端凭证和密码保险库,影响了AI和加密开发者生态系统。
微软威胁情报部门在5月11日表示,正在调查mistralai PyPI包版本2.4.6,发现恶意代码注入到mistralai/client/init.py中,该代码在导入时执行,从83.142.209.194下载二级载荷到/tmp/transformers.pyz,并在Linux系统上启动。
微软正在调查mistralai PyPI包v2.4.6被攻破的事件。攻击者在mistralai/client/init.py中注入代码,在导入时执行,下载hxxps://83[.]142[.]209[.]194/transformers.pyz到/tmp/transformers.pyz,并在Linux上启动二阶段载荷…… pic.twitter.com/9Xfb07Hcia
— 微软威胁情报 (@MsftSecIntel) 2026年5月12日
文件名模仿了Hugging Face广泛使用的Transformers AI框架。Mistral的被攻破事件是研究人员称之为Mini Shai-Hulud的协调行动中的一部分。
安全平台SafeDep报告称,该行动在5月11日至12日期间,破坏了超过170个包,并发布了404个恶意版本。
此次攻击携带CVE-2026-45321,CVSS评分为9.6,评级为严重。
SLSA溯源信任模型刚刚被打破
这次攻击在结构上前所未有的原因在于:恶意包携带了有效的SLSA Build Level 3溯源证明。
SLSA溯源是由Sigstore生成的加密证书,旨在验证包是否由可信源构建。
Snyk报告称,TanStack攻击是首个具有有效SLSA溯源的恶意npm包的已知案例,这意味着基于证明的供应链防护措施现在已明显不足。
攻击者被识别为TeamPCP,串联了三处漏洞:pull_request_target工作流配置错误、GitHub Actions缓存中毒,以及从GitHub Actions运行器进程中运行时提取OIDC令牌。
恶意提交由伪造身份(冒充Anthropic Claude GitHub应用)作者创建,前缀为[skip ci]以抑制自动检测。
恶意软件窃取的内容及其传播方式
正如Cryptopolitan在2026年1月的Trust Wallet事件中报道的那样,涉及850万美元损失,Shai-Hulud蠕虫自2025年9月起经历了多次演变。
最新变体增加了密码保险库盗窃功能,Wiz的研究人员记录到该恶意软件现在针对1Password和Bitwarden保险库,以及SSH密钥、AWS和GCP凭证、Kubernetes服务账户、GitHub令牌和npm发布凭证。
窃取者通过三条冗余渠道进行数据外泄:拼写错误域名(git-tanstack.com)、去中心化的Session消息网络,以及用被盗令牌创建的Dune主题GitHub仓库。
如果检测到俄语设置,恶意软件会退出。在以色列或伊朗的系统上,它会以1/6的概率执行递归清除(rm -rf /)。
Mistral及更广泛生态系统的应对措施
Mistral在5月12日发布安全公告,称其核心基础设施未被攻破。公司追踪事件源头为与更广泛的TanStack供应链行动相关的被攻破的开发者设备。
mistralai==2.4.6版本在UTC时间5月12日午夜前后上传,随后PyPI对该项目进行了隔离。
被攻破的npm包,包括@mistralai/mistralai、@mistralai/mistralai-azure和@mistralai/mistralai-gcp,在被移除前仍可用数小时。
被攻破包的累计每周下载量超过5.18亿。仅@tanstack/react-router每周就获得1270万次下载。
安装了受影响版本的开发者被建议轮换云端凭证、GitHub令牌、SSH密钥,并检查.claude/和.vscode/目录以查找持久化钩子。
如果你正在阅读这篇文章,你已经领先一步。请继续关注我们的新闻简报。