Mistral AI 和 TanStack 遭遇供应链攻击，攻击者使用了经 SLSA 认证的恶意软件。

攻击者入侵了 PyPI 上的官方 Mistral AI Python 包以及数百个其他广泛使用的开发者包，导致整个 AI 和加密开发者生态系统中的 GitHub 令牌、云dent和密码库暴露无遗。.

微软威胁情报部门于 5 月 11 日表示，他们正在调查 mistralai PyPI 软件包版本 2.4.6，因为他们发现 mistralai/client/__init__.py 下载辅助有效载荷 83.142.209.194 到 /tmp/transformers.pyz 并在 Linux 系统上启动它。

微软正在调查 mistralai PyPI 软件包 v2.4.6 被入侵事件。攻击者在 mistralai/client/__init__.py 中注入了代码，该代码会在导入时执行，将 hxxps://83[.]142[.]209[.]194/transformers.pyz 下载到 /tmp/transformers.pyz，并在 Linux 系统上启动第二阶段的恶意载荷。… pic.twitter.com/9Xfb07Hcia

— 微软威胁情报 (@MsftSecIntel) 2026年5月12日

该文件名模仿了 Hugging Face 广泛使用的 Transformers AI 框架。Mistral 妥协方案是研究人员称之为“迷你 Shai-Hulud”的协同行动的一部分。.

安全平台 SafeDep 报告称 ，该行动导致 170 多个软件包被入侵，并在 5 月 11 日至 12 日期间发布了 404 个恶意版本。

该攻击带有 CVE-2026-45321 漏洞，CVSS 评分为 9.6，严重程度为危急。.

SLSA溯源信任模型刚刚崩溃

这次攻击在结构上是dent的：恶意软件包携带了有效的 SLSA 构建级别 3 出处证明。.

SLSA 出处是由 Sigstore 生成的加密证书，旨在验证软件包是否由可信来源构建。.

Snyk 报告称， TanStack 攻击是第一个有记录的具有有效 SLSA 来源的恶意 npm 包案例，这意味着基于证明的供应链防御现在显然不足。

攻击者dent确认为 TeamPCP，他们利用了三个漏洞：pull_request_target 工作流配置错误、GitHub Actions 缓存中毒以及从 GitHub Actions 运行程序进程中运行时内存tracOIDC 令牌。.

恶意提交是用伪造的身份冒充 Anthropic Claude GitHub App 进行的dent前缀为 [skip ci] 以抑制自动检查。

恶意软件窃取的信息以及它的传播方式

据 Cryptopolitan 报道 2026 年 1 月 Trust Wallet 事件dent 850 万美元损失，而 Shai-Hulud 蠕虫自 2025 年 9 月以来已经经历了多次演变。

最新变种增加了密码库盗窃功能， Wiz 研究人员记录显示 之外，还针对 1Password 和 Bitwarden 密码库dent、Kubernetes 服务帐户、GitHub 令牌和 npm 发布dent。

窃取者通过三个冗余渠道进行外泄：一个域名抢注（git-tanstack.com）、去中心化的 Session 即时通讯网络，以及用窃取的代币创建的以 Dune 为主题的 GitHub 存储库。.

如果检测到俄语设置，恶意软件将退出。在地理位置位于以色列或伊朗的系统上，它有六分之一的概率执行递归擦除（rm -rf /）。

米斯特拉尔风及其更广泛的生态系统如何应对

Mistral 于 5 月 12 日发布 安全公告， 称其核心基础设施未遭入侵。该公司 trac此次事件dent 一台被入侵的开发者设备，该设备与更广泛的 TanStack 供应链攻击活动有关。

mistralai==2.4.6 版本于 5 月 12 日 UTC 时间午夜过后不久上传，之后 PyPI 将该项目隔离。.

被入侵的 npm 包，包括 @mistralai/mistralai、@mistralai/mistralai-azure 和 @mistralai/mistralai-gcp，在被移除之前已可用数小时。

受影响软件包的累计每周下载量超过 5.18 亿次。仅 @tanstack/react-router 一个软件包每周的下载量就达到 1270 万次。.

建议已安装受影响版本的开发人员轮换云dent、GitHub 令牌、SSH 密钥，并交换 API 密钥，同时检查 .claude/ 和 .vscode/ 目录中的持久化钩子。