Die besten Krypto-Einblicke direkt in Ihren Posteingang.
Mistral AI und TanStack wurden Opfer eines Lieferkettenangriffs mit SLSA-zertifizierter Malware
- Ein Lieferkettenangriff vom 11. Mai betraf über 170 npm- und PyPI-Pakete, darunter 404 bösartige Versionen von Mistral AI, TanStack, UiPath, OpenSearch und Guardrails AI.
- Es handelt sich um den ersten dokumentierten Fall von bösartigen npm-Paketen mit gültiger SLSA Build Level 3-Herkunft, wodurch das kryptografische Vertrauensmodell, das die Builds verifiziert, gebrochen wird.
- Die Nutzlast beinhaltet eine Geofencing-Routine, die mit einer Wahrscheinlichkeit von 1 zu 6 den Befehl
rm -rf /auf israelischen oder iranischen Systemen ausführt.
Angreifer kompromittierten das offizielle Mistral AI Python-Paket auf PyPI sowie Hunderte anderer weit verbreiteter Entwicklerpakete und legten so GitHub-Tokens, Cloud-dentund Passwort-Tresore im gesamten KI- und Krypto-Entwickler-Ökosystem offen.
Microsoft Threat Intelligence gab am 11. Mai bekannt, dass es das PyPI-Paket mistralai Version 2.4.6 untersucht, nachdem bösartiger Code in mistralai/client/__init__.py , der beim Import ausgeführt wird, eine sekundäre Payload von 83.142.209.194 nach /tmp/transformers.pyz und diese auf Linux-Systemen startet.
Microsoft untersucht die Kompromittierung des PyPI-Pakets mistralai (Version 2.4.6). Angreifer haben Code in die Datei mistralai/client/__init__.py eingeschleust, der beim Import ausgeführt wird, hxxps://83[.]142[.]209[.]194/transformers.pyz nach /tmp/transformers.pyz herunterlädt und anschließend eine weitere Schadsoftware unter Linux ausführt. … pic.twitter.com/9Xfb07Hcia
— Microsoft Threat Intelligence (@MsftSecIntel) 12. Mai 2026
Der Dateiname imitiert das weit verbreitete KI-Framework Transformers von Hugging Face. Der Mistral-Kompromittierungsversuch ist Teil einer koordinierten Kampagne, die Forscher Mini Shai-Hulud nennen.
Die Sicherheitsplattform SafeDep berichtete , dass bei der Operation über 170 Pakete kompromittiert und zwischen dem 11. und 12. Mai 404 bösartige Versionen veröffentlicht wurden.
Der Angriff trägt die Sicherheitslücke CVE-2026-45321 mit einem CVSS-Wert von 9,6, was ihn als kritisch einstuft.
Das SLSA-Herkunftsvertrauensmodell ist gerade zusammengebrochen
Was diesen Angriff strukturelldentmacht: Die bösartigen Pakete enthielten gültige SLSA Build Level 3 Herkunftsnachweise.
Das SLSA-Provenienzzertifikat ist ein kryptografisches Zertifikat, das von Sigstore generiert wird und dazu dient, zu bestätigen, dass ein Paket aus einer vertrauenswürdigen Quelle erstellt wurde.
Snyk berichtete, dass der TanStack-Angriff der erste dokumentierte Fall von bösartigen npm-Paketen mit gültiger SLSA-Herkunft sei, was bedeute, dass auf Attestierung basierende Lieferkettenabwehrmaßnahmen nun nachweislich unzureichend seien.
Die Angreifer, die als TeamPCPdent, nutzten drei Schwachstellen aus: eine Fehlkonfiguration des pull_request_target-Workflows, eine Vergiftung des GitHub Actions-Caches und dietraceines OIDC-Tokens aus dem GitHub Actions-Runner-Prozess zur Laufzeit.
Der bösartige Commit wurde unter einer gefälschtendent, die die Anthropic Claude GitHub App imitierte, und mit [skip ci] , um automatisierte Prüfungen zu unterdrücken.
Was die Malware stiehlt und wie sie sich verbreitet
Wie Cryptopolitan berichtete, über den Trust Wallet-Vorfall im Januar 2026dent , hat sich der Shai-Hulud-Wurm seit September 2025 in mehreren Wellen weiterentwickelt.
Diese neueste Variante beinhaltet auch den Diebstahl von Passwort-Tresoren. Wiz-Forscher dokumentieren , dass die Malware nun neben SSH-Schlüsseln, AWS- und GCP-Zugangsdatendent, Kubernetes-Dienstkonten, GitHub-Tokens und npm-Veröffentlichungszugangsdatendent.
Der Dieb exfiltriert über drei redundante Kanäle: eine Typosquat-Domain (git-tanstack.com), das dezentrale Session-Messenger-Netzwerk und mit gestohlenen Token erstellte GitHub-Repositories im Dune-Stil.
Die Schadsoftware beendet sich, sobald russische Spracheinstellungen erkannt werden. Auf Systemen mit Standort Israel oder Iran besteht eine Wahrscheinlichkeit von 1 zu 6, dass ein rekursives Löschen (rm -rf /) durchgeführt wird.
Wie Mistral und das gesamte Ökosystem reagierten
Mistral veröffentlichte am 12. Mai eine Sicherheitswarnung, in der es hieß, die Kerninfrastruktur sei nicht kompromittiert worden. Das Unternehmen trackonnte den Vorfall auf ein kompromittiertes Entwicklergerät zurückführen,dent der umfassenderen TanStack-Lieferkettenkampagne in Verbindung stand.
Die Version mistralai==2.4.6 wurde kurz nach Mitternacht UTC am 12. Mai hochgeladen, bevor PyPI das Projekt unter Quarantäne stellte.
Kompromittierte npm-Pakete, darunter @mistralai/mistralai, @mistralai/mistralai-azure und @mistralai/mistralai-gcp, waren mehrere Stunden lang verfügbar, bevor sie entfernt wurden.
Die kumulierte wöchentliche Downloadzahl der kompromittierten Pakete übersteigt 518 Millionen. Allein @tanstack/react-router verzeichnet wöchentlich 12,7 Millionen Downloads.
Entwicklern, die betroffene Versionen installiert haben, wird empfohlen, ihre Cloud-Zugangsdaten, GitHub-Tokens, SSH-Schlüssel und Austausch-API-Schlüssel zu rotierendentdie .claude/ und .vscode/ auf Persistenz-Hooks zu überprüfen.
Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)