Mistral AIとTanStackがSLSA認証マルウェアによるサプライチェーン攻撃を受ける

による

2分で読めます 4分前

5月11日に発生したサプライチェーン攻撃により、170を超えるnpmおよびPyPIパッケージが影響を受け、その中にはMistral AI、TanStack、UiPath、OpenSearch、Guardrails AIの悪意のあるバージョンが404件含まれていた。.
これは、悪意のあるnpmパッケージが有効なSLSAビルドレベル3の出所情報を持ち、ビルドを検証する暗号学的信頼モデルを破ったことが記録された最初の事例である。.
ペイロードには、 rm -rf / を イスラエルまたはイランのシステム上で

攻撃者は、PyPI上の公式Mistral AI Pythonパッケージに加え、その他数百もの広く利用されている開発者向けパッケージを侵害し、AIおよび暗号通貨開発者エコシステム全体にわたってGitHubトークン、クラウドdent情報、パスワード保管庫を危険にさらした。.

ことが判明したため mistralai PyPI 二次ペイロードをダウンロードして 83.142.209.194 に /tmp/transformers.pyz と発表した。

Microsoftは、mistralai PyPIパッケージv2.4.6の侵害について調査しています。攻撃者はmistralai/client/__init__.pyにコードを注入し、インポート時に実行され、hxxps://83[.]142[.]209[.]194/transformers.pyzを/tmp/transformers.pyzにダウンロードし、Linux上で第2段階のペイロードを起動します。… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 2026年5月12日

ファイル名は、Hugging Face社が広く使用しているTransformers AIフレームワークを模倣している。ミストラルでの不正行為は、研究者たちがミニ・シャイ・フルードと呼ぶ、組織的な作戦の一環である。.

セキュリティプラットフォームのSafeDepは報告した、5月11日から12日の間に、170以上のパッケージが侵害され、404の悪意のあるバージョンが公開されたと

この攻撃はCVE-2026-45321に分類され、CVSSスコアは9.6で、深刻度は「クリティカル」と評価されています。.

SLSAの出所信頼モデルが崩壊した

この攻撃が構造的にdentのないものとなっている理由は、悪意のあるパッケージが有効なSLSAビルドレベル3の出所証明を保持していた点にある。.

SLSAプロベナンスは、パッケージが信頼できるソースからビルドされたことを検証するために、Sigstoreによって生成される暗号証明書です。.

Snykは、 TanStack攻撃は有効なSLSA来歴を持つ悪意のあるnpmパッケージが記録された最初の事例であり、認証ベースのサプライチェーン防御が明らかに不十分であることを意味すると報告した。

TeamPCPとdentされた攻撃者は、3つの脆弱性を連鎖的に利用した。具体的には、pull_request_targetワークフローの設定ミス、GitHub Actionsのキャッシュポイズニング、そしてGitHub ActionsランナープロセスからのOIDCトークンのランタイムメモリtracである。.

悪意のあるコミットは、dentAnthropic Claude GitHub App を装った [skip ci] 。

マルウェアが盗むものとその拡散方法

ように Cryptopolitan 報じた 2026年1月に発生した、850万ドルの損失につながったTrust Walletの事件dent 、Shai-Huludワームは2025年9月以降、複数の波を経て進化を続けている。

この最新の亜種ではパスワード保管庫の盗難機能が追加されており、 Wizの研究者らは、このマルウェアがSSHキー、AWSおよびGCPの認証情報、Kubernetesサービスアカウント、GitHubトークン、npm公開認証情報に加えて、1PasswordとBitwardenの保管庫も標的にしていることを記録dentてdent。

窃盗犯は、タイポスクワッティングドメイン（git-tanstack.com）、分散型セッションメッセンジャーネットワーク、および盗んだトークンで作成されたデューンをテーマにしたGitHubリポジトリという、3つの冗長な経路を通じて資金を流出させる。.

ロシア語の設定が検出されると、マルウェアは終了します。イスラエルまたはイランに地理的に位置付けられたシステムでは、6 分の 1 の確率で再帰的ワイプ (rm -rf /) が実行されます。

ミストラルとより広範な生態系はどのように反応したか

ミストラル社はセキュリティ勧告。同社は、 tracこのインシデントのdent 、より広範なTanStackサプライチェーンキャンペーンに関連した、侵害された開発者デバイスに

mistralai==2.4.6 リリースは、PyPI がプロジェクトを隔離する直前の 5 月 12 日午前 12 時 UTC 直後にアップロードされました。.

などの侵害された npm パッケージは、 @mistralai/mistralai、@mistralai/mistralai-azure、@mistralai/mistralai-gcp削除されるまで数時間にわたって利用可能でした。

侵害されたパッケージの累計週間ダウンロード数は5億1800万を超えています。@tanstack/react-routerだけでも、週間ダウンロード数は1270万回に達します。.

影響を受けるバージョンをインストールした開発者は、クラウド認証情報、GitHubトークン、SSHキーをローテーションしdentAPIキーを交換し、 .claude/ および .vscode/ ディレクトリに永続化フックがないか検査することをお勧めします。

この記事を読んでいるあなたは、既に一歩先を行っています。ニュースレターを購読して、その優位性を維持しましょう。

ミストラルAI

この記事を共有する

マイカ・アビオドゥン

マイカは7年以上にわたり、仮想通貨業界の出来事を取材してきました。タリン工科大学（TalTech）で環境工学・マネジメント（MSc）を学びました。2016年からテクノロジーと仮想通貨のニュースを取材し始め、その後、仮想通貨ガイドや価格分析にも携わりました。現在は、 Cryptopolitanでコンテンツエディターとして活躍しています。.

1. SLSAの出所信頼モデルが崩壊した

2. マルウェアが盗むものとその拡散方法

3. ミストラルとより広範な生態系はどのように反応したか

この記事を共有する