Mistral AI 和 TanStack 遭受 SLSA 证明的恶意软件的供应链攻击

攻击者破坏了 PyPI 上的官方 Mistral AI Python 包以及数百个其他广泛使用的开发者包，暴露了整个 AI 和加密开发者生态系统中的 GitHub 令牌、云凭证和密码库。

微软威胁情报公司于 5 月 11 日表示，在发现 Mistralai/client/__init__.py 中注入的恶意代码在导入时执行，将辅助负载从 83.142.209.194 下载到 /tmp/transformers.pyz 并在 Linux 系统上启动后，它正在调查 Mistralai PyPI 软件包版本 2.4.6。

Microsoft 正在调查 Mistralai PyPI 软件包 v2.4.6 的泄露情况。攻击者在 Mistralai/client/__init__.py 中注入代码，该代码在导入时执行，将 hxxps://83[.]142[.]209[.]194/transformers.pyz 下载到 /tmp/transformers.pyz，并在 Linux 上启动第二阶段有效负载。… pic.twitter.com/9Xfb07Hcia

— 微软威胁情报 (@MsftSecIntel) 2026 年 5 月 12 日

该文件名模仿 Hugging Face 广泛使用的 Transformers AI 框架。米斯特拉尔妥协方案是研究人员称之为“Mini Shai-Hulud”的协调行动的一部分。

安全平台 SafeDep 报告称，该行动在 5 月 11 日至 12 日期间泄露了 170 多个软件包，并发布了 404 个恶意版本。

该攻击带有 CVE-2026-45321，CVSS 评分为 9.6，严重程度为“严重”。

SLSA 来源信任模型刚刚破裂

这次攻击在结构上是史无前例的：恶意软件包携带有效的 SLSA Build Level 3 来源证明。

SLSA 来源是由 Sigstore 生成的加密证书，旨在验证软件包是否是从可信来源构建的。

Snyk 报告称，TanStack 攻击是第一个有记录的具有有效 SLSA 来源的恶意 npm 软件包案例，这意味着基于证明的供应链防御现在明显不足。

被识别为 TeamPCP 的攻击者链接了三个漏洞：pull_request_target 工作流程配置错误、GitHub Actions 缓存中毒以及从 GitHub Actions 运行程序进程中提取 OIDC 令牌的运行时内存。

恶意提交是在冒充 Anthropic Claude GitHub 应用程序的伪造身份下编写的，并以 [skip ci] 为前缀以抑制自动检查。

恶意软件窃取什么以及如何传播

正如 Cryptopolitan 报道的 2026 年 1 月发生的导致 850 万美元损失的 Trust Wallet 事件一样，Shai-Hulud 蠕虫病毒自 2025 年 9 月以来已经经历了多波演变。

这个最新变体增加了密码保险库盗窃功能，Wiz 研究人员记录道，该恶意软件现在的目标是 1Password 和 Bitwarden 保险库以及 SSH 密钥、AWS 和 GCP 凭证、Kubernetes 服务帐户、GitHub 令牌和 npm 发布凭证。

窃取者通过三个冗余渠道进行渗透：typosquat 域 (git-tanstack.com)、去中心化会话消息网络以及使用被盗代币创建的以沙丘为主题的 GitHub 存储库。

如果检测到俄语设置，恶意软件就会退出。在位于以色列或伊朗的系统上，它引入了六分之一的执行递归擦除的概率 (rm -rf /)。

米斯特拉尔和更广泛的生态系统如何应对

Mistral 于 5 月 12 日发布安全公告，称其核心基础设施并未受到损害。该公司将此事件追溯到与更广泛的 TanStack 供应链活动相关的受感染的开发设备。

Mistralai==2.4.6 版本是在 5 月 12 日 UTC 午夜后不久上传的，随后 PyPI 隔离了该项目。

受感染的 npm 软件包（包括 @mistralai/mistralai、@mistralai/mistralai-azure 和 @mistralai/mistralai-gcp）在被删除前几个小时内都可用。

受感染软件包每周累计下载量超过 5.18 亿。仅@tanstack/react-router 每周就有 1270 万次下载。

建议安装受影响版本的开发人员轮换云凭据、GitHub 令牌、SSH 密钥并交换 API 密钥，并检查 .claude/ 和 .vscode/ 目录中的持久性挂钩。