Mistral AI اور TanStack SLSA سے تصدیق شدہ میلویئر کے ساتھ سپلائی چین کے حملے میں متاثر ہوئے۔
حملہ آوروں نے PyPI پر آفیشل Mistral AI Python پیکیج کے ساتھ ساتھ وسیع پیمانے پر استعمال ہونے والے سینکڑوں دیگر ڈویلپر پیکجز کے ساتھ سمجھوتہ کیا، جس سے GitHub ٹوکنز، کلاؤڈ اسناد، اور پاس ورڈ والٹس پورے AI اور کرپٹو ڈویلپر ایکو سسٹم میں سامنے آئے۔
مائیکروسافٹ تھریٹ انٹیلی جنس نے 11 مئی کو کہا کہ وہ mistralai/client/__init__.py میں انجکشن والے بدنیتی پر مبنی کوڈ دریافت کرنے کے بعد mistralai PyPI پیکیج ورژن 2.4.6 کی چھان بین کر رہا ہے، 83.142.209.194 سے ثانوی پے لوڈ ڈاؤن لوڈ کر کے /t.zmp/t.zmp سسٹم پر لانچ کر رہا ہے۔
مائیکروسافٹ Mistralai PyPI پیکیج v2.4.6 سمجھوتہ کی تحقیقات کر رہا ہے۔ حملہ آوروں نے mistralai/client/__init__.py میں کوڈ لگایا جو درآمد پر عمل کرتا ہے، hxxps://83[.]142[.]209[.]194/transformers.pyz کو /tmp/transformers.pyz پر ڈاؤن لوڈ کرتا ہے، اور لینکس پر دوسرے مرحلے کا پے لوڈ شروع کرتا ہے۔
— Microsoft Threat Intelligence (@MsftSecIntel) 12 مئی 2026
فائل کا نام Hugging Face کے بڑے پیمانے پر استعمال ہونے والے ٹرانسفارمرز AI فریم ورک کی نقالی کرتا ہے۔ Mistral سمجھوتہ ایک مربوط مہم کا ایک حصہ ہے جسے محققین Mini Shai-Hulud کہہ رہے ہیں۔
سیکیورٹی پلیٹ فارم سیف ڈیپ نے رپورٹ کیا کہ اس آپریشن نے 170 سے زیادہ پیکجوں سے سمجھوتہ کیا اور 11 اور 12 مئی کے درمیان 404 نقصان دہ ورژن شائع کیے۔
اس حملے میں CVE-2026-45321 CVSS سکور 9.6 ہے، اس کی درجہ بندی انتہائی سنگین ہے۔
SLSA پرووینس ٹرسٹ ماڈل ابھی ٹوٹ گیا۔
کیا چیز اس حملے کو ساختی طور پر بے مثال بناتی ہے: بدنیتی پر مبنی پیکجوں میں درست SLSA بلڈ لیول 3 کی تصدیق کی گئی تھی۔
SLSA پرووینس ایک کرپٹوگرافک سرٹیفکیٹ ہے جو Sigstore کے ذریعے تیار کیا گیا ہے جس کا مقصد اس بات کی تصدیق کرنا ہے کہ پیکج ایک قابل اعتماد ذریعہ سے بنایا گیا تھا۔
Snyk نے رپورٹ کیا کہ TanStack حملہ نقصان دہ npm پیکجوں کا پہلا دستاویزی کیس ہے جس میں درست SLSA پرووینس ہے، یعنی تصدیق پر مبنی سپلائی چین ڈیفنسز اب واضح طور پر ناکافی ہیں۔
حملہ آوروں نے، جن کی شناخت TeamPCP کے طور پر کی گئی ہے، نے تین کمزوریوں کو جکڑ دیا: ایک pull_request_target ورک فلو کی غلط کنفیگریشن، GitHub ایکشنز کیشے پوائزننگ، اور GitHub ایکشنز رنر کے عمل سے OIDC ٹوکن کا رن ٹائم میموری نکالنا۔
بدنیتی پر مبنی کمٹ ایک من گھڑت شناخت کے تحت تصنیف کی گئی تھی جس میں Anthropic Claude GitHub ایپ کی نقالی کی گئی تھی، خودکار جانچ کو دبانے کے لیے [skip ci] کے ساتھ سابقہ لگایا گیا تھا۔
میلویئر کیا چوری کرتا ہے اور یہ کیسے پھیلتا ہے۔
جیسا کہ کرپٹو پولیٹن نے جنوری 2026 کے ٹرسٹ والیٹ کے واقعے کی اطلاع دی ہے جس میں $8.5 ملین کا نقصان ہوا ہے، شائی-ہولد کیڑا ستمبر 2025 سے متعدد لہروں میں تیار ہو رہا ہے۔
یہ تازہ ترین ویرینٹ پاس ورڈ والٹ چوری کا اضافہ کرتا ہے، Wiz محققین کے دستاویز کے ساتھ کہ میلویئر اب SSH کیز، AWS اور GCP اسناد، Kubernetes سروس اکاؤنٹس، GitHub ٹوکنز، اور npm پبلشنگ اسناد کے ساتھ ساتھ 1Password اور Bitwarden vaults کو نشانہ بناتا ہے۔
چوری کرنے والا تین بے کار چینلز کے ذریعے باہر نکلتا ہے: ایک typosquat ڈومین (git-tanstack.com)، وکندریقرت سیشن میسنجر نیٹ ورک، اور چوری شدہ ٹوکنز کے ساتھ بنائے گئے Dune-themed GitHub ریپوزٹریز۔
اگر روسی زبان کی ترتیبات کا پتہ چل جاتا ہے تو میلویئر ختم ہو جاتا ہے۔ اسرائیل یا ایران کے جغرافیائی محل وقوع والے سسٹمز پر، یہ ریکرسیو وائپ (rm -rf/) پر عمل درآمد کا 1-in-6 امکان متعارف کراتا ہے۔
Mistral اور وسیع تر ماحولیاتی نظام نے کیسے جواب دیا۔
Mistral نے 12 مئی کو ایک سیکورٹی ایڈوائزری شائع کی جس میں کہا گیا کہ اس کے بنیادی ڈھانچے سے سمجھوتہ نہیں کیا گیا ہے۔ کمپنی نے اس واقعے کا سراغ ایک سمجھوتہ شدہ ڈویلپر ڈیوائس سے لگایا جو وسیع تر TanStack سپلائی چین مہم سے منسلک ہے۔
Mistralai==2.4.6 ریلیز 12 مئی کو آدھی رات UTC کے فوراً بعد اپ لوڈ کی گئی تھی، اس سے پہلے کہ PyPI نے پروجیکٹ کو قرنطینہ کیا ہو۔
سمجھوتہ شدہ npm پیکجز، بشمول @mistralai/mistralai، @mistralai/mistralai-azure، اور @mistralai/mistralai-gcp، ہٹانے سے پہلے کئی گھنٹوں تک دستیاب تھے۔
سمجھوتہ شدہ پیکجوں کا مجموعی ہفتہ وار ڈاؤن لوڈ والیوم 518 ملین سے زیادہ ہے۔ @tanstack/react-router کو اکیلے 12.7 ملین ہفتہ وار ڈاؤن لوڈز موصول ہوتے ہیں۔
متاثرہ ورژنز انسٹال کرنے والے ڈویلپرز کو کلاؤڈ اسناد، GitHub ٹوکنز، SSH کیز، اور API کیز کا تبادلہ کرنے کا مشورہ دیا جاتا ہے، اور مستقل ہکس کے لیے .claude/ اور .vscode/ ڈائریکٹریز کا معائنہ کریں۔