- Nel pacchetto ufficiale dell'SDK di Mistral AI su PyPI è stato iniettato del codice dannoso, che viene eseguito automaticamente sui sistemi Linux.
- Il malware ha scaricato un file di secondo livello denominato transformers.pyz per rubare le credenziali degli sviluppatori e altri dati sensibili.
- L'incidente è collegato a una più ampia campagna della catena di fornitura di Shai-Hulud / TeamPCP che ha compromesso oltre 170 pacchetti npm e numerosi pacchetti PyPI.
- Gli esperti esortano gli sviluppatori a ruotare i token, bloccare le dipendenze ed eseguire scansioni per rilevare infezioni nei progetti di intelligenza artificiale e open source.
È stato scoperto che il kit di sviluppo software ufficiale di Mistral AI, distribuito tramite il popolare repository Python PyPI, contiene malware furtivo che si attiva silenziosamente sui sistemi Linux non appena gli sviluppatori hanno importato il pacchetto compromesso. La scoperta ha sollevato nuove preoccupazioni su quanto siano realmente esposte le moderne catene di fornitura di intelligenza artificiale e open source.
Secondo i dettagli tecnici condivisi da Microsoft e da altri ricercatori di sicurezza, il codice dannoso è stato introdotto di nascosto direttamente in un pacchetto Mistral AI affidabile e ha abusato delle pipeline di pubblicazione automatizzate e degli strumenti di sviluppoPer migliaia di ingegneri che lavorano con modelli di apprendimento automatico, l'incidente è l'ennesimo promemoria del fatto che anche gli SDK più affidabili possono trasformarsi in vettori di infezione da un giorno all'altro.
Come il codice dannoso si è infiltrato nel pacchetto PyPI di Mistral AI.
Gli investigatori riferiscono che gli autori della minaccia sono riusciti a inserire Logica dannosa nel pacchetto mistralai ospitato su PyPI, un hub centrale a cui gli sviluppatori Python si affidano per installare librerie e framework. Microsoft Threat Intelligence ha affermato che il pacchetto manomesso conteneva codice aggiuntivo che veniva eseguito automaticamente sulle macchine Linux ogni volta che l'SDK veniva utilizzato nei progetti.
La logica dannosa ha scaricato un payload di secondo stadio denominato transformers.pyz da un server remoto, conservandolo sotto il /tmp directory ed eseguendolo silenziosamente in background. Gli analisti della sicurezza hanno notato che il nome del file scelto sembra essere stato creato intenzionalmente per assomigliare alla legittima libreria Hugging Face Transformers, una dipendenza estremamente comune negli ambienti di intelligenza artificiale e apprendimento automatico, in modo che il malware si mimetizzi con i normali strumenti.
In una delle versioni compromesse, i ricercatori hanno osservato il frammento malevolo all'interno il file mistralai/client/__init__.py. Non appena il modulo è stato importato, il codice aggiuntivo si connetterà all'IP controllato dall'attaccante, recuperando transformers.pyz e avviarlo, senza alcuna richiesta visibile o interazione da parte dell'utente. Dal punto di vista dello sviluppatore, tutto sembrava una normale importazione di un SDK standard.
In seguito alla scoperta, i manutentori del Python Package Index ha posto il progetto Mistral AI in stato di quarantenaIn questo modo si blocca di fatto l'ulteriore distribuzione delle versioni dannose note, mentre le indagini proseguono. Tale misura mira a contenere la diffusione, sebbene i sistemi che in precedenza avevano installato le versioni malevole possano ancora essere a rischio.
Cosa fa il malware una volta che si insedia nei sistemi degli sviluppatori
Una volta che il Il file transformers.pyz di secondo stadio è in esecuzioneLa sua missione principale è quella di raccogliere informazioni sensibili dall'ambiente infetto. Microsoft e team di sicurezza indipendenti descrivono il malware come un ladro di credenziali, progettato per esfiltrare i dati di autenticazione di cui gli sviluppatori hanno bisogno per gestire codice, servizi cloud e infrastrutture.
Il payload dannoso prende di mira credenziali di accesso, token di accesso e altri segreti che consentono l'accesso a piattaforme come GitHub o npm, provider di cloud, cluster Kubernetes e server accessibili tramite SSH. In alcune analisi, è stato osservato che il malware si integrava anche negli strumenti di sviluppo, inclusi elementi legati all'esecuzione automatica in VS Code e hook associati a assistenti di codice, al fine di mantenere la persistenza e ampliare la sua portata.
La società di sicurezza Aikido Security e altri esperti hanno avvertito che, in molti casi, La semplice disinstallazione del pacchetto Mistral AI compromesso non è sufficiente per pulire completamente un sistema infetto. Una volta installato, il malware può installare componenti aggiuntivi, modificare file di configurazione o impostare attività automatizzate che continuano a essere eseguite anche dopo la rimozione dell'SDK originale.
Un dettaglio particolarmente preoccupante è che questa campagna, secondo quanto riferito, prende di mira i gestori di password come 1Password e BitwardenTentando di accedere o intercettare i dati associati a questi strumenti, gli aggressori aumentano le loro possibilità di estrarre una vasta gamma di informazioni riservate da un singolo computer compromesso, dalle credenziali di accesso personali agli account aziendali con privilegi elevati.
Microsoft ha inoltre notato che il malware include comportamento sensibile alla regione e alla linguaIl codice tenta di eludere i sistemi configurati in russo e contiene una logica in grado di eliminare casualmente file su determinate macchine che si ritiene si trovino in Israele o in Iran. Questa combinazione di elusione mirata e capacità distruttive ha indotto gli analisti a considerare l'operazione come qualcosa di più di una semplice campagna generica di furto di credenziali.
Collegamenti con la più ampia catena operativa di fornitura di Shai-Hulud e TeamPCP.
La compromissione del pacchetto Mistral AI PyPI non è un incidente isolato. Molteplici segnalazioni collegano questa attività a un campagna più ampia della catena di approvvigionamento nota come “Shai-Hulud”, che è attivo almeno da settembre e si concentra sull'infezione degli ecosistemi degli sviluppatori manomettendo pacchetti affidabili.
Sotto l'ombrello di Shai-Hulud, gli aggressori avrebbero presumibilmente utilizzato Credenziali di manutentore rubate o utilizzate in modo improprio, configurazioni errate e vulnerabilità in GitHub Actions per infiltrarsi nei legittimi canali di pubblicazione. Una volta all'interno, possono iniettare codice dannoso nei file sorgente e pubblicare versioni firmate e perfettamente valide nei registri dei pacchetti, rendendo le versioni dannose quasi indistinguibili dagli aggiornamenti autentici.
Una ondata della campagna, a volte descritta come una L'offensiva "Mini Shai-Hulud"Secondo quanto riportato, l'11 maggio 2026, un singolo attacco coordinato alla catena di fornitura avrebbe compromesso più di 170 pacchetti npm e almeno due pacchetti su PyPI. In totale, i ricercatori hanno contato oltre 400 versioni dannose pubblicate su questi progetti, molte delle quali legate a strumenti di intelligenza artificiale e open source ampiamente utilizzati.
Il gruppo di attori della minaccia noto come Il TeamPCP è stato ripetutamente indicato come la forza trainante di questa operazione.L'account della comunità di sicurezza VX-Underground ha segnalato su X che una versione completamente hackerabile del cosiddetto "worm Shai-Hulud Git" è stata resa disponibile come codice sorgente aperto. Se confermato, questo renderebbe più facile per altri soggetti riutilizzare o adattare le stesse tecniche contro altri ecosistemi software.
Ciò che rende questo tipo di campagna particolarmente pericoloso è il suo comportamento auto-propagante tra pacchetti correlatiUna volta ottenute le credenziali di un manutentore o di un progetto, gli aggressori possono utilizzare script automatizzati per enumerare altri repository collegati a tale identità, iniettare payload simili in più codebase e ripubblicare aggiornamenti apparentemente legittimi, trasformando una singola compromissione in una rete molto più ampia di dipendenze infette.
La risposta di Mistral AI e l'aspetto della catena di approvvigionamento legato a TanStack
In una dichiarazione pubblicata sul suo sito web, Mistral AI ha riconosciuto che il suo Il rilascio ufficiale dell'SDK su PyPI è stato compromesso da un attacco alla catena di approvvigionamento. collegato a un più ampio incidente di sicurezza che ha coinvolto TanStack. Secondo l'azienda, un worm automatizzato associato a tale campagna ha innescato la pubblicazione di versioni manipolate di pacchetti npm e PyPI.
Mistral ha indicato che i risultati attuali indicano che un dispositivo di sviluppo compromesso, piuttosto che una violazione diretta dell'infrastruttura principale dell'azienda. In questa fase dell'indagine, Mistral afferma di non avere prove che i suoi sistemi interni o l'infrastruttura del modello ospitato siano stati compromessi o modificati dagli aggressori.
Ciò si allinea con il modello generale osservato nell'attività correlata a Shai-Hulud, dove Gli aggressori si concentrano sugli endpoint degli sviluppatori e sulle pipeline CI/CD. piuttosto che nei data center o sui server di produzione. Sfruttando i punti deboli dei computer personali o flussi di lavoro di automazione configurati in modo errato, possono iniettare malware esattamente nel punto in cui vengono creati e firmati i file binari e i pacchetti considerati affidabili.
Sebbene ciò possa risparmiare l'infrastruttura principale di Mistral, lascia comunque esposto un gran numero di sviluppatori e organizzazioni. Qualsiasi team che abbia integrato la versione SDK compromessa nei propri progetti potrebbe hanno inavvertitamente integrato il codice dannoso negli ambienti di sviluppo o di produzione, a seconda di come e dove il pacchetto è stato distribuito.
L'azienda ora si trova ad affrontare la sfida di ripristinare la fiducia attorno ai suoi SDK e ai processi di build, in un momento in cui Il settore dell'IA è sottoposto a un intenso esame Per quanto riguarda privacy, affidabilità e sicurezza, dimostrare che le nuove versioni sono protette da attacchi simili sarà probabilmente una priorità sia per Mistral che per gli altri fornitori di intelligenza artificiale che seguono da vicino la situazione.
Quali dati sono a rischio e come dovrebbero reagire gli sviluppatori
I ricercatori della sicurezza sottolineano che l'obiettivo finale di questa famiglia di malware è raccogliere quante più credenziali di valore possibile dai sistemi su cui si installa. Per i team che lavorano con strumenti di intelligenza artificiale, questo include token di accesso a GitHub, credenziali npm, chiavi API cloud, account di servizio Kubernetes, chiavi SSH e segreti utilizzati nelle pipeline CI/CD.
Poiché il malware tenta di integrarsi negli ambienti di sviluppo e nei ganci di automazione, il raggio d'azione dell'esplosione può estendersi ben oltre una singola postazione di lavoroSe le credenziali rubate consentono l'accesso ai repository Git aziendali, ai registri dei pacchetti o alle implementazioni cloud, gli aggressori potrebbero spostarsi lateralmente e manomettere ulteriori progetti o infrastrutture.
Gli esperti di sicurezza e i fornitori stanno esortando le organizzazioni che potrebbero aver installato una qualsiasi versione compromessa del pacchetto ad adottare immediatamente diverse misure. Innanzitutto, gli sviluppatori dovrebbero ruotare tutte le credenziali e i token pertinenti, tra cui le chiavi di GitHub, npm e cloud, nonché i segreti utilizzati dai server di build e dalle pipeline di distribuzione.
Successivamente, si consiglia ai team di verificare i propri alberi di dipendenza, controllando i "file di blocco" e i manifesti dei pacchetti per versioni note per essere segnalate come dannoseBloccare le dipendenze su versioni affidabili e verificate ed evitare aggiornamenti alla cieca può contribuire a limitare i rischi in caso di attacchi simili alla catena di fornitura in futuro.
Infine, le organizzazioni dovrebbero sistematicamente analizzano i loro sistemi alla ricerca di segni di infezione, inclusa la presenza di file sospetti come transformers.pyzconnessioni di rete insolite a indirizzi IP controllati da malintenzionati e modifiche impreviste alle impostazioni dell'IDE, agli hook o alle attività pianificate. Nei casi ad alto rischio, isolare gli host Linux interessati e ricostruirli da immagini pulite potrebbe essere la soluzione più sicura.
Un campanello d'allarme per l'intelligenza artificiale e la sicurezza della catena di approvvigionamento open-source.
L'incidente relativo a Mistral AI PyPI mette in luce una tendenza più ampia: I framework di intelligenza artificiale e gli ecosistemi di sviluppatori sono diventati obiettivi primari per hacker motivati da interessi finanziari e potenzialmente legati a stati. Invece di sfruttare direttamente le applicazioni degli utenti finali, gli avversari prendono sempre più di mira la catena di fornitura del software che è alla base dei moderni flussi di lavoro di sviluppo.
Compromettendo i registri dei pacchetti come PyPI e npm, gli aggressori possono raggiungere migliaia o addirittura milioni di sistemi con una singola violazione riuscitaLa storia recente ha dimostrato che npm è particolarmente attraente per il suo ruolo centrale in progetti JavaScript, blockchain e relativi alle criptovalute, dove pacchetti compromessi sono stati utilizzati per reindirizzare transazioni di criptovalute o per installare malware in bot di trading e strumenti per smart contract.
In questo contesto, la campagna legata a Shai-Hulud e TeamPCP è meno uno shock isolato e più la continuazione di uno schema. Le stesse tecniche che funzionano contro gli ecosistemi JavaScript vengono ora adattate e perfezionate per colpire gli stack di IA basati su Python, amplificando la trampolino di dipendenza dal LLMdove i potenziali vantaggi includono l'accesso a codice di modelli di alto valore, set di dati proprietari e infrastrutture aziendali sensibili.
Per la comunità dell'IA, la lezione è fin troppo chiara: Il codice di apprendimento automatico è pur sempre solo un software.e eredita tutte le debolezze tipiche delle pratiche di sviluppo tradizionali. Indipendentemente da quanto avanzata sia l'architettura del modello, pipeline non sicure, scarsa igiene nella manutenzione e dipendenze non verificate creano facili opportunità per gli aggressori.
Poiché le organizzazioni continuano ad adottare modelli linguistici di grandi dimensioni e a integrare l'IA nelle operazioni quotidiane, incidenti come questo stanno portando la sicurezza in primo piano nelle decisioni architetturali. Dall'imposizione di controlli più rigorosi sugli account dei manutentori al rilascio di build riproducibili e release firmate, Le misure di sicurezza stanno diventando centrali nei progetti di intelligenza artificiale tanto quanto le metriche di accuratezza e i parametri di riferimento delle prestazioni..
Vista da lontano, la malware scoperta nel pacchetto PyPI di Mistral AI serve a ricordarci in modo lampante quanto sia fragile la fiducia negli ecosistemi software, soprattutto quando gli aggressori prendono di mira le infrastrutture invisibili su cui gli sviluppatori fanno affidamento ogni giorno. Rafforzare queste fondamenta – attraverso strumenti migliori, una disciplina operativa più rigorosa e una collaborazione più stretta tra fornitori di IA, manutentori e team di sicurezza – sarà fondamentale per impedire che futuri attacchi alla catena di fornitura si diffondano silenziosamente attraverso gli stessi framework destinati ad alimentare la prossima generazione di applicazioni intelligenti.
