Mistral AI и TanStack подверглись атаке на цепочку поставок с использованием вредоносного ПО, подтвержденного SLSA

Злоумышленники взломали официальный пакет Mistral AI для Python на PyPI, а также сотни других широко используемых пакетов для разработчиков, получив доступ к токенам GitHub, облачнымdentданным и хранилищам паролей в экосистеме разработчиков ИИ и криптовалют.

11 мая служба Microsoft Threat Intelligence сообщила о расследовании в отношении пакета mistralai PyPI версии 2.4.6 после обнаружения вредоносного кода, внедренного в файл mistralai/client/__init__.py , который выполнялся при импорте, загружая дополнительную полезную нагрузку с IP-адреса 83.142.209.194 в /tmp/transformers.pyz и запуская ее в системах Linux.

Microsoft расследует взлом пакета mistralai PyPI версии 2.4.6. Злоумышленники внедрили код в файл mistralai/client/__init__.py, который выполняется при импорте, загружает hxxps://83[.]142[.]209[.]194/transformers.pyz в /tmp/transformers.pyz и запускает полезную нагрузку второго этапа в Linux… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 12 мая 2026 г.

Название файла имитирует широко используемую фреймворк Transformers AI от Hugging Face. Компрометация Mistral — это один из элементов скоординированной кампании, которую исследователи называют Mini Shai-Hulud.

Платформа безопасности SafeDep сообщила , что в ходе операции было скомпрометировано более 170 пакетов и опубликовано 404 вредоносные версии в период с 11 по 12 мая.

Атака имеет уязвимость CVE-2026-45321 и оценку CVSS 9,6, что соответствует критической степени опасности.

Модель доверия к источникам происхождения SLSA дала сбой

Что делает эту атакуdentпо своей структуре: вредоносные пакеты содержали действительные подтверждения происхождения SLSA Build Level 3.

Сертификат происхождения SLSA — это криптографический сертификат, генерируемый Sigstore, предназначенный для проверки того, что пакет был собран из доверенного источника.

Компания Snyk сообщила, что атака TanStack является первым задокументированным случаем вредоносных пакетов npm с подтвержденным происхождением в соответствии с SLSA, что означает, что средства защиты цепочки поставок, основанные на аттестации, теперь явно недостаточны.

Злоумышленники,dentкак TeamPCP, объединили три уязвимости: неправильную конфигурацию рабочего процесса pull_request_target, отравление кэша GitHub Actions иtracтокена OIDC из памяти во время выполнения процесса запуска GitHub Actions.

Вредоносный коммит был создан под вымышленным именем,dentприложение Anthropic Claude на GitHub, с префиксом [skip ci] для подавления автоматических проверок.

Что именно крадет вредоносная программа и как она распространяется

Как Cryptopolitan сообщало в январе 2026 года об инциденте с Trust Wallet,dent за собой убытки в размере 8,5 миллионов долларов, червь Shai-Hulud эволюционировал, пройдя несколько волн развития с сентября 2025 года.

В этом последнем варианте добавлена ​​возможность кражи хранилищ паролей. Исследователи Wiz задокументировали , что вредоносная программа теперь нацелена на хранилища 1Password и Bitwarden, а также на SSH-ключи,dentданные AWS и GCP, учетные записи служб Kubernetes, токены GitHub иdentданные для публикации в npm.

Злоумышленник осуществляет побег через три дублирующих канала: домен Typosquat (git-tanstack.com), децентрализованную сеть мессенджеров Session и репозитории GitHub, оформленные в стиле «Дюны» и созданные с использованием украденных токенов.

Вредоносная программа завершает работу, если обнаружены настройки русского языка. На системах, географически распределенных в Израиль или Иран, она создает вероятность 1 к 6 выполнения рекурсивного удаления данных (rm -rf /).

Как отреагировали мистраль и вся экосистема в целом

компания Mistral опубликовала предупреждение о безопасности, в котором говорилось, что ее основная инфраструктура не была скомпрометирована. Компания tracинцидентdent скомпрометированным устройством разработчика, связанным с более масштабной кампанией по защите цепочки поставок TanStack.

Релиз mistralai==2.4.6 был загружен вскоре после полуночи по UTC 12 мая, до того, как PyPI поместил проект в карантин.

Взломанные npm-пакеты, включая @mistralai/mistralai, @mistralai/mistralai-azure и @mistralai/mistralai-gcp, были доступны в течение нескольких часов, прежде чем их удалили.

Суммарный еженедельный объем загрузок скомпрометированных пакетов превышает 518 миллионов. Только @tanstack/react-router получает 12,7 миллионов еженедельных загрузок.

Разработчикам, установившим затронутые версии, рекомендуется обновить облачные учетныеdent, токены GitHub, ключи SSH и ключи API Exchange, а также проверить .claude/ и .vscode/ каталоги