ضربت Mistral AI وTanStack هجومًا على سلسلة التوريد باستخدام برامج ضارة معتمدة على SLSA
قام المهاجمون باختراق حزمة Mistral AI Python الرسمية على PyPI إلى جانب المئات من حزم المطورين الأخرى المستخدمة على نطاق واسع، مما أدى إلى كشف رموز GitHub وبيانات الاعتماد السحابية وخزائن كلمات المرور عبر النظام البيئي لمطوري الذكاء الاصطناعي والعملات المشفرة.
قالت Microsoft Threat Intelligence في 11 مايو، إنها تحقق في إصدار حزمة mistralai PyPI 2.4.6 بعد اكتشاف تعليمات برمجية ضارة تم إدخالها في mistralai/client/__init__.py والتي تم تنفيذها عند الاستيراد، وتنزيل حمولة ثانوية من 83.142.209.194 إلى /tmp/transformers.pyz وإطلاقها على أنظمة Linux.
تقوم Microsoft بالتحقيق في اختراق حزمة Mistralai PyPI v2.4.6. قام المهاجمون بإدخال تعليمات برمجية في mistralai/client/__init__.py يتم تنفيذها عند الاستيراد، وتنزيل hxxps://83[.]142[.]209[.]194/transformers.pyz إلى /tmp/transformers.pyz، وإطلاق حمولة المرحلة الثانية على Linux.... pic.twitter.com/9Xfb07Hcia
– استخبارات التهديدات من Microsoft (MsftSecIntel) 12 مايو 2026
يحاكي اسم الملف إطار عمل Transformers AI المستخدم على نطاق واسع في Hugging Face. إن تسوية ميسترال هي جزء من حملة منسقة يسميها الباحثون ميني شاي خلود.
وأفادت منصة الأمان SafeDep أن العملية اخترقت أكثر من 170 حزمة ونشرت 404 إصدارات ضارة في الفترة ما بين 11 و12 مايو.
يحمل الهجوم CVE-2026-45321 بدرجة CVSS تبلغ 9.6، مما يجعله خطيرًا للغاية.
نموذج الثقة بمصدر SLSA قد انهار للتو
ما يجعل هذا الهجوم غير مسبوق من الناحية الهيكلية: كانت الحزم الضارة تحمل شهادات مصدر صالحة لـ SLSA Build Level 3.
مصدر SLSA هو شهادة تشفير تم إنشاؤها بواسطة Sigstore وتهدف إلى التحقق من إنشاء الحزمة من مصدر موثوق به.
أفاد Snyk أن هجوم TanStack هو أول حالة موثقة لحزم npm الضارة ذات مصدر SLSA صالح، مما يعني أن دفاعات سلسلة التوريد القائمة على الشهادة أصبحت الآن غير كافية بشكل واضح.
قام المهاجمون، الذين تم تحديدهم باسم TeamPCP، بربط ثلاث نقاط ضعف: التكوين الخاطئ لسير عمل pull_request_target، وتسميم ذاكرة التخزين المؤقت لـ GitHub Actions، واستخراج ذاكرة وقت التشغيل لرمز OIDC من عملية تشغيل GitHub Actions.
تم تأليف هذا الالتزام الخبيث بموجب هوية ملفقة تنتحل صفة تطبيق Anthropic Claude GitHub، مسبوقًا بـ [skip ci] لمنع عمليات الفحص الآلي.
ما الذي تسرقه البرامج الضارة وكيف تنتشر
وكما ذكرت شركة Cryptopolitan في حادثة Trust Wallet في يناير 2026 والتي تسببت بخسائر قدرها 8.5 مليون دولار، فإن فيروس Shai-Hulud يتطور عبر موجات متعددة منذ سبتمبر 2025.
يضيف هذا البديل الأخير سرقة قبو كلمات المرور، حيث يوثق باحثو Wiz أن البرامج الضارة تستهدف الآن خزائن 1Password وBitwarden إلى جانب مفاتيح SSH وبيانات اعتماد AWS وGCP وحسابات خدمة Kubernetes ورموز GitHub وبيانات اعتماد النشر npm.
يتسلل المتسلل عبر ثلاث قنوات زائدة عن الحاجة: مجال typosquat (git-tanstack.com)، وشبكة مراسلة الجلسة اللامركزية، ومستودعات GitHub التي تحمل سمة Dune والتي تم إنشاؤها باستخدام الرموز المسروقة.
تخرج البرامج الضارة إذا تم اكتشاف إعدادات اللغة الروسية. في الأنظمة المحددة جغرافيًا لإسرائيل أو إيران، فإنه يقدم احتمالًا بنسبة 1 من 6 لتنفيذ المسح العودي (rm -rf /).
كيف استجابت ميسترال والنظام البيئي الأوسع
ونشرت ميسترال تحذيرا أمنيا في 12 مايو قائلة إن بنيتها التحتية الأساسية لم تتعرض للخطر. تتبعت الشركة الحادث إلى جهاز مطور مخترق مرتبط بحملة سلسلة التوريد الأوسع نطاقًا TanStack.
تم تحميل إصدار Mistralai==2.4.6 بعد وقت قصير من منتصف ليل UTC في 12 مايو، قبل قيام PyPI بعزل المشروع.
كانت حزم npm المخترقة، بما في ذلك @mistralai/mistralai، و@mistralai/mistralai-azure، و@mistralai/mistralai-gcp، متاحة لعدة ساعات قبل الإزالة.
يتجاوز حجم التنزيل الأسبوعي التراكمي للحزم المخترقة 518 مليونًا. يتلقى @tanstack/react-router وحده 12.7 مليون عملية تنزيل أسبوعيًا.
يُنصح المطورون الذين قاموا بتثبيت الإصدارات المتأثرة بتدوير بيانات الاعتماد السحابية ورموز GitHub ومفاتيح SSH وتبادل مفاتيح واجهة برمجة التطبيقات (API) وفحص أدلة .claude/ و.vscode/ بحثًا عن خطافات الثبات.