Mistral AI und TanStack wurden bei einem Lieferkettenangriff mit SLSA-attestierter Malware getroffen
Angreifer haben das offizielle Mistral AI Python-Paket auf PyPI zusammen mit Hunderten anderer weit verbreiteter Entwicklerpakete kompromittiert und GitHub-Tokens, Cloud-Anmeldeinformationen und Passwort-Tresore im gesamten KI- und Krypto-Entwickler-Ökosystem offengelegt.
Microsoft Threat Intelligence gab am 11. Mai bekannt, dass es das Mistralai PyPI-Paket Version 2.4.6 untersucht, nachdem in mistralai/client/__init__.py eingeschleuster Schadcode entdeckt wurde, der beim Import ausgeführt wurde, eine sekundäre Nutzlast von 83.142.209.194 nach /tmp/transformers.pyz herunterlud und auf Linux-Systemen startete.
Microsoft untersucht eine Kompromittierung des PyPI-Pakets v2.4.6 von Mistralai. Angreifer haben Code in mistralai/client/__init__.py eingeschleust, der beim Import ausgeführt wird, hxxps://83[.]142[.]209[.]194/transformers.pyz nach /tmp/transformers.pyz herunterlädt und eine Nutzlast der zweiten Stufe unter Linux startet.… pic.twitter.com/9Xfb07Hcia
– Microsoft Threat Intelligence (@MsftSecIntel), 12. Mai 2026
Der Dateiname imitiert das weit verbreitete Transformers AI-Framework von Hugging Face. Der Mistral-Kompromiss ist Teil einer koordinierten Kampagne, die Forscher Mini Shai-Hulud nennen.
Die Sicherheitsplattform SafeDep berichtete, dass der Vorgang zwischen dem 11. und 12. Mai über 170 Pakete kompromittiert und 404 bösartige Versionen veröffentlicht habe.
Der Angriff trägt CVE-2026-45321 mit einem CVSS-Score von 9,6 und wird damit als kritisch eingestuft.
Das SLSA-Provenance-Trust-Modell ist gerade kaputt gegangen
Was diesen Angriff strukturell beispiellos macht: Die Schadpakete trugen gültige SLSA Build Level 3-Herkunftsnachweise.
SLSA-Herkunft ist ein von Sigstore generiertes kryptografisches Zertifikat, das überprüfen soll, ob ein Paket aus einer vertrauenswürdigen Quelle erstellt wurde.
Snyk berichtete, dass der TanStack-Angriff der erste dokumentierte Fall bösartiger NPM-Pakete mit gültiger SLSA-Herkunft ist, was bedeutet, dass bescheinigungsbasierte Abwehrmaßnahmen in der Lieferkette jetzt nachweislich unzureichend sind.
Die als TeamPCP identifizierten Angreifer verketteten drei Schwachstellen: eine Fehlkonfiguration des pull_request_target-Workflows, GitHub Actions-Cache-Poisoning und Laufzeitspeicherextraktion eines OIDC-Tokens aus dem GitHub Actions-Runner-Prozess.
Der böswillige Commit wurde unter einer gefälschten Identität verfasst, die sich als die GitHub-App Anthropic Claude ausgab, mit dem Präfix [skip ci], um automatische Überprüfungen zu unterdrücken.
Was die Malware stiehlt und wie sie sich verbreitet
Wie Cryptopolitan über den Trust Wallet-Vorfall im Januar 2026 berichtete, der mit Verlusten in Höhe von 8,5 Millionen US-Dollar verbunden war, hat sich der Shai-Hulud-Wurm seit September 2025 in mehreren Wellen weiterentwickelt.
Diese neueste Variante fügt den Diebstahl von Passwort-Tresoren hinzu, wobei Wiz-Forscher dokumentieren, dass die Malware nun neben SSH-Schlüsseln, AWS- und GCP-Anmeldeinformationen, Kubernetes-Dienstkonten, GitHub-Tokens und NPM-Veröffentlichungs-Anmeldeinformationen auch auf 1Password- und Bitwarden-Tresore abzielt.
Der Stealer exfiltriert über drei redundante Kanäle: eine Typosquat-Domäne (git-tanstack.com), das dezentrale Session-Messenger-Netzwerk und GitHub-Repositorys im Dune-Stil, die mit gestohlenen Token erstellt wurden.
Die Malware wird beendet, wenn russische Spracheinstellungen erkannt werden. Auf Systemen mit geografischem Standort in Israel oder Iran führt es zu einer 1:6-Wahrscheinlichkeit für die Ausführung eines rekursiven Löschvorgangs (rm -rf /).
Wie Mistral und das breitere Ökosystem reagierten
Mistral veröffentlichte am 12. Mai eine Sicherheitswarnung, in der es hieß, seine Kerninfrastruktur sei nicht gefährdet. Das Unternehmen führte den Vorfall auf ein manipuliertes Entwicklergerät zurück, das mit der umfassenderen Lieferkettenkampagne von TanStack in Zusammenhang steht.
Die Version mistralai==2.4.6 wurde am 12. Mai kurz nach Mitternacht UTC hochgeladen, bevor PyPI das Projekt unter Quarantäne stellte.
Kompromittierte npm-Pakete, darunter @mistralai/mistralai, @mistralai/mistralai-azure und @mistralai/mistralai-gcp, waren mehrere Stunden lang verfügbar, bevor sie entfernt wurden.
Das kumulierte wöchentliche Downloadvolumen der kompromittierten Pakete beträgt über 518 Millionen. Allein @tanstack/react-router erhält wöchentlich 12,7 Millionen Downloads.
Entwicklern, die betroffene Versionen installiert haben, wird empfohlen, Cloud-Anmeldeinformationen, GitHub-Tokens, SSH-Schlüssel und Austausch-API-Schlüssel zu rotieren und die Verzeichnisse .claude/ und .vscode/ auf Persistenz-Hooks zu überprüfen.