Mistral AI et TanStack victimes d'une attaque de leur chaîne d'approvisionnement avec un logiciel malveillant certifié SLSA

Des attaquants ont compromis le package Python officiel de Mistral AI sur PyPI ainsi que des centaines d'autres packages de développeurs largement utilisés, exposant des jetons GitHub, desdentcloud et des coffres-forts de mots de passe dans l'écosystème des développeurs d'IA et de cryptomonnaie.

Le service Microsoft Threat Intelligence a déclaré le 11 mai qu'il enquêtait sur le package PyPI mistralai version 2.4.6 après avoir découvert un code malveillant injecté dans mistralai/client/__init__.py qui s'exécutait lors de l'importation, téléchargeant une charge utile secondaire depuis 83.142.209.194 vers /tmp/transformers.pyz et la lançant sur les systèmes Linux.

Microsoft enquête sur la compromission du package PyPI mistralai v2.4.6. Des attaquants ont injecté du code dans mistralai/client/__init__.py qui s'exécute lors de l'importation, télécharge hxxps://83[.]142[.]209[.]194/transformers.pyz vers /tmp/transformers.pyz et lance une charge utile secondaire sous Linux.… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 12 mai 2026

Le nom du fichier imite celui du framework d'IA Transformers de Hugging Face, largement utilisé. La faille Mistral fait partie d'une campagne coordonnée que les chercheurs appellent Mini Shai-Hulud.

La plateforme de sécurité SafeDep a signalé que l'opération avait compromis plus de 170 paquets et publié 404 versions malveillantes entre le 11 et le 12 mai.

L'attaque porte la vulnérabilité CVE-2026-45321 avec un score CVSS de 9,6, ce qui la classe comme critique.

Le modèle de confiance de provenance SLSA vient de s'effondrer

Ce qui rend cette attaque structurellement sansdent: les paquets malveillants contenaient des attestations de provenance SLSA Build Level 3 valides.

La provenance SLSA est un certificat cryptographique généré par Sigstore destiné à vérifier qu'un paquet a été construit à partir d'une source fiable.

Snyk a signalé que l'attaque TanStack est le premier cas documenté de packages npm malveillants avec une provenance SLSA valide, ce qui signifie que les défenses de la chaîne d'approvisionnement basées sur l'attestation sont désormais manifestement insuffisantes.

Les attaquants,dentcomme TeamPCP, ont enchaîné trois vulnérabilités : une mauvaise configuration du flux de travail pull_request_target, un empoisonnement du cache GitHub Actions et unetracde mémoire d’exécution d’un jeton OIDC à partir du processus d’exécution de GitHub Actions.

Le commit malveillant a été rédigé sous unedentimitant l'application GitHub Anthropic Claude, préfixée par [skip ci] pour supprimer les vérifications automatisées.

Ce que le logiciel malveillant vole et comment il se propage

Comme Cryptopolitan l'a rapporté de janvier 2026 chez Trust Wallet,dent lié à des pertes de 8,5 millions de dollars, le ver Shai-Hulud a évolué en plusieurs vagues depuis septembre 2025.

Cette dernière variante ajoute le vol de coffres-forts de mots de passe, les chercheurs de Wiz documentant que le logiciel malveillant cible désormais les coffres-forts 1Password et Bitwarden ainsi que les clés SSH, lesdent, les comptes de service Kubernetes, les jetons GitHub et lesdent.

Le voleur exfiltre les données via trois canaux redondants : un domaine typosquatté (git-tanstack.com), le réseau de messagerie décentralisé Session et des dépôts GitHub sur le thème de Dune créés avec des jetons volés.

Le logiciel malveillant se désactive si les paramètres de langue russe sont détectés. Sur les systèmes géolocalisés en Israël ou en Iran, il introduit une probabilité de 1 sur 6 d'exécuter une suppression récursive (rm -rf /).

Comment Mistral et l'écosystème dans son ensemble ont réagi

Mistral a publié un avis de sécurité le 12 mai, indiquant que son infrastructure principale n'avait pas été compromise. L'entreprise tracl'dent jusqu'à un appareil de développeur compromis, lié à la vaste campagne de cybercriminalité TanStack visant la chaîne d'approvisionnement.

La version mistralai==2.4.6 a été mise en ligne peu après minuit UTC le 12 mai, avant que PyPI ne mette le projet en quarantaine.

Des paquets npm compromis, notamment @mistralai/mistralai, @mistralai/mistralai-azure et @mistralai/mistralai-gcp, sont restés disponibles pendant plusieurs heures avant d'être supprimés.

Le volume cumulé de téléchargements hebdomadaires des paquets compromis dépasse 518 millions. Le paquet @tanstack/react-router à lui seul enregistre 12,7 millions de téléchargements par semaine.

Il est conseillé aux développeurs ayant installé les versions concernées de renouveler leursdent, leurs jetons GitHub, leurs clés SSH et leurs clés API, et de vérifier .claude/ et .vscode/ à la recherche de points d'ancrage de persistance.