Mistral AI и TanStack подверглись атаке на цепочку поставок с использованием вредоносного ПО, сертифицированного SLSA
Злоумышленники скомпрометировали официальный пакет Mistral AI Python на PyPI вместе с сотнями других широко используемых пакетов разработчиков, предоставив доступ к токенам GitHub, облачным учетным данным и хранилищам паролей в экосистеме разработчиков искусственного интеллекта и криптовалют.
11 мая компания Microsoft Threat Intelligence сообщила, что исследует пакет mistralai PyPI версии 2.4.6 после обнаружения вредоносного кода, внедренного в mistralai/client/__init__.py, который выполняется при импорте, загружает вторичную полезную нагрузку с 83.142.209.194 в /tmp/transformers.pyz и запускает его в системах Linux.
Microsoft расследует компрометацию пакета Mistralai PyPI v2.4.6. Злоумышленники внедрили код в mistralai/client/__init__.py, который выполняется при импорте, загружает hxxps://83[.]142[.]209[.]194/transformers.pyz в /tmp/transformers.pyz и запускает полезную нагрузку второго этапа в Linux.… pic.twitter.com/9Xfb07Hcia
— Microsoft Threat Intelligence (@MsftSecIntel), 12 мая 2026 г.
Имя файла олицетворяет широко используемую платформу искусственного интеллекта Transformers AI компании Hugging Face. Компромисс «Мистраля» является частью скоординированной кампании, которую исследователи называют Мини Шай-Хулуд.
Платформа безопасности SafeDep сообщила, что в период с 11 по 12 мая в ходе операции было скомпрометировано более 170 пакетов и опубликовано 404 вредоносных версии.
Атака несет CVE-2026-45321 с оценкой CVSS 9,6, что соответствует критической серьезности.
Модель доверия к провенансу SLSA только что сломалась
Что делает эту атаку структурно беспрецедентной: вредоносные пакеты имели действующие сертификаты происхождения SLSA Build Level 3.
Происхождение SLSA — это криптографический сертификат, созданный Sigstore, предназначенный для проверки того, что пакет был создан из надежного источника.
Сник сообщил, что атака TanStack — это первый задокументированный случай использования вредоносных пакетов npm с действительным происхождением SLSA, а это означает, что защита цепочки поставок на основе аттестации теперь явно недостаточна.
Злоумышленники, идентифицированные как TeamPCP, связали три уязвимости: неверную конфигурацию рабочего процесса pull_request_target, отравление кэша GitHub Actions и извлечение из памяти времени выполнения токена OIDC из процесса запуска GitHub Actions.
Вредоносный коммит был создан под вымышленным именем, выдающим себя за приложение Anthropic Claude GitHub, с префиксом [skip ci] для подавления автоматических проверок.
Что крадет вредоносное ПО и как оно распространяется
Как сообщил Cryptopolitan об инциденте с Trust Wallet в январе 2026 года, связанном с убытками в размере 8,5 миллионов долларов, с сентября 2025 года червь Shai-Hulud развивался несколькими волнами.
Этот последний вариант добавляет кражу хранилища паролей: исследователи Wiz документально подтверждают, что вредоносное ПО теперь нацелено на хранилища 1Password и Bitwarden, а также ключи SSH, учетные данные AWS и GCP, учетные записи служб Kubernetes, токены GitHub и учетные данные публикации npm.
Вор проникает через три резервных канала: домен typosquat (git-tanstack.com), децентрализованную сеть обмена сообщениями Session и репозитории GitHub на тему Дюны, созданные с использованием украденных токенов.
Вредоносная программа завершает работу, если обнаружены настройки русского языка. В системах, географически расположенных в Израиле или Иране, вероятность выполнения рекурсивного удаления составляет 1 из 6 (rm -rf /).
Как отреагировали Mistral и более широкая экосистема
12 мая компания Mistral опубликовала предупреждение по безопасности, в котором говорится, что ее основная инфраструктура не была скомпрометирована. Компания связала инцидент со взломанным устройством разработчика, связанным с более широкой кампанией TanStack в цепочке поставок.
Релиз mistralai==2.4.6 был загружен вскоре после полуночи по всемирному координированному времени 12 мая, прежде чем PyPI поместил проект на карантин.
Скомпрометированные пакеты npm, включая @mistralai/mistralai, @mistralai/mistralai-azure и @mistralai/mistralai-gcp, были доступны в течение нескольких часов перед удалением.
Совокупный еженедельный объем загрузок скомпрометированных пакетов превышает 518 миллионов. Только @tanstack/react-router получает 12,7 миллионов загрузок в неделю.
Разработчикам, установившим уязвимые версии, рекомендуется менять облачные учетные данные, токены GitHub, ключи SSH и обмениваться ключами API, а также проверять каталоги .claude/ и .vscode/ на наличие перехватчиков постоянства.