Mistral AI e TanStack são alvos de ataque à cadeia de suprimentos com malware atestado pela SLSA

Os atacantes comprometeram o pacote oficial do Mistral AI em Python no PyPI, juntamente com centenas de outros pacotes de desenvolvedores amplamente utilizados, expondo tokens do GitHub,dentna nuvem e cofres de senhas em todo o ecossistema de desenvolvedores de IA e criptografia.

A Microsoft Threat Intelligence informou em 11 de maio que estava investigando o pacote mistralai PyPI versão 2.4.6 após descobrir um código malicioso injetado em mistralai/client/__init__.py que era executado na importação, baixando uma carga útil secundária do endereço IP 83.142.209.194 para o /tmp/transformers.pyz e a executando em sistemas Linux.

A Microsoft está investigando uma possível violação de segurança no pacote mistralai PyPI v2.4.6. Os atacantes injetaram código em mistralai/client/__init__.py que é executado na importação, baixa hxxps://83[.]142[.]209[.]194/transformers.pyz para /tmp/transformers.pyz e inicia um segundo payload no Linux.… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 12 de maio de 2026

O nome do arquivo imita a estrutura de IA Transformers da Hugging Face, amplamente utilizada. A invasão Mistral é parte de uma campanha coordenada que os pesquisadores estão chamando de Mini Shai-Hulud.

A plataforma de segurança SafeDep informou que a operação comprometeu mais de 170 pacotes e publicou 404 versões maliciosas entre os dias 11 e 12 de maio.

O ataque apresenta a vulnerabilidade CVE-2026-45321 com uma pontuação CVSS de 9,6, classificando-o como de gravidade crítica.

O modelo de confiança de proveniência da SLSA acaba de ruir

O que torna este ataque estruturalmente semdent: os pacotes maliciosos continham atestados de proveniência SLSA Build Level 3 válidos.

A proveniência SLSA é um certificado criptográfico gerado pelo Sigstore destinado a verificar se um pacote foi construído a partir de uma fonte confiável.

Snyk relatou que o ataque TanStack é o primeiro caso documentado de pacotes npm maliciosos com procedência SLSA válida, o que significa que as defesas da cadeia de suprimentos baseadas em atestados são agora comprovadamente insuficientes.

Os atacantes,dentcomo TeamPCP, exploraram três vulnerabilidades em cadeia: uma configuração incorreta do fluxo de trabalho pull_request_target, envenenamento do cache do GitHub Actions etracde um token OIDC da memória de execução do processo do GitHub Actions.

O commit malicioso foi criado sob umadent, imitando o aplicativo GitHub Anthropic Claude, com o prefixo [skip ci] para suprimir verificações automatizadas.

O que o malware rouba e como ele se espalha

Conforme Cryptopolitan relatado com a Trust Wallet em janeiro de 2026,dent que resultou em perdas de US$ 8,5 milhões, o worm Shai-Hulud vem evoluindo em múltiplas ondas desde setembro de 2025.

Esta variante mais recente adiciona o roubo de senhas de cofres, com pesquisadores da Wiz documentando que o malware agora tem como alvo cofres do 1Password e Bitwarden, além de chaves SSH, credenciais da AWS e GCPdentde publicação do npmdent.

O ladrão realiza a exfiltração de dados por meio de três canais redundantes: um domínio typosquat (git-tanstack.com), a rede de mensagens descentralizada Session e repositórios do GitHub com tema de Duna, criados com tokens roubados.

O malware é encerrado se forem detectadas configurações de idioma russo. Em sistemas geolocalizados em Israel ou Irã, ele introduz uma probabilidade de 1 em 6 de executar uma limpeza recursiva (rm -rf /).

Como Mistral e o ecossistema em geral responderam

A Mistral publicou um alerta de segurança em 12 de maio, afirmando que sua infraestrutura principal não havia sido comprometida. A empresa tracodent até um dispositivo de desenvolvedor comprometido, ligado à campanha mais ampla de ataque à cadeia de suprimentos do TanStack.

A versão mistralai==2.4.6 foi enviada pouco depois da meia-noite UTC de 12 de maio, antes de o PyPI colocar o projeto em quarentena.

Pacotes npm comprometidos, incluindo @mistralai/mistralai, @mistralai/mistralai-azure e @mistralai/mistralai-gcp, ficaram disponíveis por várias horas antes de serem removidos.

O volume cumulativo semanal de downloads dos pacotes comprometidos ultrapassa 518 milhões. Somente o @tanstack/react-router recebe 12,7 milhões de downloads semanais.

Recomenda-se aos desenvolvedores que instalaram as versões afetadas que rotacionem asdent, tokens do GitHub, chaves SSH e chaves de API do Exchange, além de inspecionarem .claude/ e .vscode/ em busca de hooks de persistência.