- Zlonamjerni kod je ubrizgan u službeni Mistral AI SDK paket na PyPI-ju, automatski se pokrećući na Linux sistemima.
- Zlonamjerni softver je preuzeo datoteku druge faze pod nazivom transformers.pyz kako bi ukrao akreditive programera i druge osjetljive tajne.
- Incident je povezan sa širom kampanjom u lancu snabdijevanja Shai-Hulud / TeamPCP koja je kompromitovala preko 170 npm i više PyPI paketa.
- Stručnjaci pozivaju programere da rotiraju tokene, zaključavaju zavisnosti i skeniraju projekte umjetne inteligencije i projekte otvorenog koda na prisustvo infekcija.
Zvanični komplet za razvoj softvera Mistral AI, distribuiran putem popularnog Python repozitorija PyPI, sadrži... prikriveni zlonamjerni softver koji se tiho aktivirao na Linux sistemima čim su programeri uvezli kompromitovani paket. Otkriće je izazvalo novu zabrinutost o tome koliko su zapravo izloženi moderni lanci snabdijevanja umjetnom inteligencijom i otvorenim kodom.
Prema tehničkim detaljima koje su podijelili Microsoft i drugi sigurnosni istraživači, zlonamjerni kod je prokrijumčaren direktno u pouzdani Mistral AI paket i zloupotrebljavali automatizirane cjevovode za objavljivanje i alate za razvojne programereZa hiljade inženjera koji rade s modelima mašinskog učenja, ovaj incident je još jedan podsjetnik da se čak i SDK-ovi kojima se široko vjeruje mogu preko noći pretvoriti u vektore zaraze.
Kako se zlonamjerni kod uvukao u Mistral AI PyPI paket
Istražitelji izvještavaju da su akteri prijetnji uspjeli ubaciti zlonamjerna logika u mistralai paketu hostovanom na PyPI-ju, centralnog čvorišta na koje se Python programeri oslanjaju za instaliranje biblioteka i okvira. Microsoft Threat Intelligence je izjavio da je neovlašteni paket sadržavao dodatni kod koji se automatski izvršavao na Linux mašinama kad god se SDK koristio u projektima.
Štetna logika je preuzela teret druge faze pod nazivom transformers.pyz sa udaljenog servera, pohranjujući ga ispod /tmp direktorij i tiho ga pokrenuti u pozadini. Sigurnosni analitičari su primijetili da odabrani naziv datoteke izgleda namjerno kreiran da podsjeća na legitimnu biblioteku Hugging Face Transformers, izuzetno čestu zavisnost u okruženjima umjetne inteligencije i mašinskog učenja, zbog čega se zlonamjerni softver stapa s uobičajenim alatima.
U jednoj od kompromitovanih verzija, istraživači su uočili lažni isječak unutra fajl mistralai/client/__init__.pyČim bi modul bio uvezen, dodatni kod bi se povezao s IP adresom koju kontrolira napadač, dohvatio transformers.pyz i pokrenuti ga, bez vidljivih uputa ili interakcije s korisnikom. Iz perspektive programera, sve je izgledalo kao rutinski uvoz standardnog SDK-a.
Nakon otkrića, održavatelji indeksa paketa Python projekt Mistral AI stavio je pod karantin., efektivno blokirajući daljnju distribuciju poznatih zlonamjernih verzija dok istraga traje. Ta mjera ima za cilj obuzdavanje širenja, iako svi sistemi koji su prethodno instalirali zlonamjerna izdanja i dalje mogu biti u opasnosti.
Šta zlonamjerni softver radi kada se nađe na sistemima programera
Jednom Datoteka druge faze transformers.pyz se izvršava, njegova primarna misija je prikupljanje osjetljivih informacija iz pogođenog okruženja. Microsoft i nezavisni sigurnosni timovi opisuju zlonamjerni softver kao kradljivca vjerodajnica, napravljenog za krađu podataka za autentifikaciju na koje se programeri oslanjaju za upravljanje kodom, uslugama u oblaku i infrastrukturom.
Zlonamjerni ciljevi korisnog tereta pristupne podatke, tokene za pristup i druge tajne podatke koji omogućavaju pristup platformama kao što su GitHub ili npm, cloud provajderima, Kubernetes klasterima i SSH-dostupnim serverima. U nekim analizama, uočeno je i da se zlonamjerni softver integriše u alate za razvoj, uključujući elemente vezane za automatsko izvršavanje u VS Code-u i hooks-ove povezane sa čarobnjaci koda, kako bi održao upornost i proširio svoj doseg.
Zaštitna firma Aikido Security i drugi stručnjaci upozorili su da su u mnogim slučajevima... Samo deinstaliranje kompromitovanog Mistral AI paketa nije dovoljno da potpuno očisti zaraženi sistem. Nakon što se uspostavi, zlonamjerni softver može instalirati dodatne komponente, mijenjati konfiguracijske datoteke ili postaviti automatizirane zadatke koji nastavljaju s radom čak i nakon što se originalni SDK ukloni.
Jedan posebno zabrinjavajući detalj je da je ova kampanja navodno napada upravitelje lozinki kao što su 1Password i BitwardenPokušavajući pristupiti ili presresti podatke povezane s ovim alatima, napadači povećavaju svoje šanse za izvlačenje širokog spektra tajni s jednog kompromitovanog računara, od ličnih prijava do visokoprivilegiranih organizacijskih računa.
Microsoft je također napomenuo da zlonamjerni softver uključuje ponašanje svjesno regije i jezikaKod pokušava izbjeći sisteme konfigurisane na ruskom jeziku i sadrži logiku koja može nasumično brisati datoteke na određenim mašinama za koje se vjeruje da se nalaze u Izraelu ili Iranu. Ta kombinacija ciljanog izbjegavanja i destruktivnih sposobnosti navela je analitičare da operaciju tretiraju kao više od obične generičke kampanje krađe akreditiva.
Veze sa širim lancem snabdijevanja Shai-Hulud i TeamPCP
Kompromitacija Mistral AI PyPI paketa nije izolovan incident. Više izvještaja povezuje ovu aktivnost sa... veća kampanja u lancu snabdijevanja poznata kao "Šai-Hulud", koji je aktivan najmanje od septembra i fokusira se na zarađivanje ekosistema programera manipulisanjem pouzdanim paketima.
Pod okriljem Shai-Huluda, napadači su navodno koristili ukradene ili zloupotrijebljene akreditacije za održavanje, pogrešne konfiguracije i nedostaci u GitHub Actions kako bi provalili u legitimne publikacijske kanale. Jednom kada uđu, mogu ubrizgati zlonamjerni kod u izvorne datoteke i poslati potpisana, potpuno važeća izdanja u registre paketa, čineći štetne verzije gotovo nerazlučivim od autentičnih ažuriranja.
Jedan val kampanje, ponekad opisan kao Ofanziva "Mini Šaj-Hulud", navodno je kompromitovao više od 170 npm paketa i najmanje dva paketa na PyPI u jednom koordiniranom napadu na lanac snabdijevanja 11. maja 2026. godine. Ukupno su istraživači izbrojali preko 400 zlonamjernih verzija objavljenih u ovim projektima, od kojih su mnoge bile povezane sa široko korištenom vještačkom inteligencijom i alatima otvorenog koda.
Grupa aktera prijetnji poznata kao TeamPCP je više puta spominjan kao sila koja stoji iza ove operacije.Sigurnosni račun zajednice VX-Underground istakao je na X-u da je potpuno naoružana verzija takozvanog "Shai-Hulud Git crva" dostupna kao otvoreni kod. Ako je tačan, taj potez bi olakšao dodatnim akterima ponovnu upotrebu ili prilagođavanje istih tehnika protiv drugih softverskih ekosistema.
Ono što ovu vrstu kampanje čini posebno opasnom jeste njena samopropagirajuće ponašanje u povezanim paketimaNakon što napadači dobiju akreditive za održavatelja ili projekt, automatizirane skripte mogu nabrojati druge repozitorije povezane s tim identitetom, ubrizgati slične korisne podatke u više kodnih baza i ponovo objaviti naizgled legitimna ažuriranja, pretvarajući jedno kompromitiranje u mnogo širu mrežu zaraženih ovisnosti.
Odgovor Mistral AI-a i perspektiva lanca snabdijevanja povezana s TanStackom
U saopštenju objavljenom na svojoj web stranici, Mistral AI je priznao da je njegov Zvanično izdanje SDK-a na PyPI-ju je pogođeno napadom na lanac snabdijevanja povezano sa širim sigurnosnim incidentom koji uključuje TanStack. Prema kompaniji, automatizirani crv povezan s tom kampanjom pokrenuo je objavljivanje manipuliranih verzija i npm i PyPI paketa.
Mistral je naznačio da trenutni nalazi ukazuju na uređaj programera je kompromitovan, a ne direktno kršenje osnovne infrastrukture kompanije. U ovoj fazi istrage, Mistral kaže da nema dokaza da su napadači preuzeli ili izmijenili njihove interne sisteme ili infrastrukturu hostovanog modela.
Ovo se poklapa sa opštim obrascem uočenim u aktivnostima vezanim za Šaj-Hulud, gdje Napadači se fokusiraju na krajnje tačke programera i CI/CD kanale a ne na podatkovnim centrima ili produkcijskim serverima. Zloupotrebom slabih veza u ličnim mašinama ili pogrešno konfiguriranim automatiziranim radnim procesima, mogu ubrizgati zlonamjerni softver na tačno mjesto gdje se pouzdani binarni fajlovi i paketi grade i potpisuju.
Iako to možda poštedi osnovnu infrastrukturu Mistrala, i dalje ostavlja veliki broj programera i organizacija izloženim riziku. Svaki tim koji je u svoje projekte ubacio kompromitovanu verziju SDK-a potencijalno... nesvjesno integrirao zlonamjerni kod u razvojno ili produkcijsko okruženje, ovisno o tome kako i gdje je paket raspoređen.
Kompanija se sada suočava s izazovom vraćanja povjerenja oko svojih SDK-ova i procesa izgradnje, u vrijeme kada Industrija umjetne inteligencije je pod strogom kontrolom u vezi s privatnošću, pouzdanošću i sigurnošću. Demonstriranje da su nova izdanja otporna na slične napade vjerovatno će biti prioritet i za Mistral i za druge dobavljače umjetne inteligencije koji pažljivo prate situaciju.
Koji su podaci ugroženi i kako bi programeri trebali reagovati
Istraživači sigurnosti naglašavaju da je krajnji cilj ove porodice zlonamjernog softvera da prikupite što više vrijednih referenci od sistema na koje se sleti. Za timove koji rade s AI alatima, ovo uključuje GitHub tokene za pristup, npm vjerodajnice, ključeve cloud API-ja, Kubernetes servisne račune, SSH ključeve i tajne podatke koji se koriste u CI/CD cjevovodima.
Budući da zlonamjerni softver pokušava da se integriše u razvojna okruženja i automatizacione hooks-ove, radijus eksplozije može se proširiti daleko izvan jedne radne staniceAko ukradeni akreditivi omogućavaju pristup Git repozitorijima organizacije, registrima paketa ili implementacijama u oblaku, napadači bi se mogli kretati bočno i mijenjati dodatne projekte ili infrastrukturu.
Sigurnosni stručnjaci i dobavljači pozivaju organizacije koje su možda instalirale bilo koju kompromitovanu verziju paketa da odmah preduzmu nekoliko koraka. Prvo, programeri bi trebali rotirajte sve relevantne akreditive i tokene, uključujući GitHub, npm i cloud ključeve, kao i tajne koje koriste serveri za izgradnju i cjevovodi implementacije.
Zatim se timovima savjetuje da revidiraju svoja stabla zavisnosti, provjeravajući "datoteke zaključavanja" i manifeste paketa za verzije za koje se zna da su označene kao zlonamjernePovezivanje zavisnosti sa pouzdanim, verifikovanim izdanjima i izbjegavanje slijepih nadogradnji može pomoći u ograničavanju izloženosti kada se slični napadi na lanac snabdijevanja dogode u budućnosti.
Konačno, organizacije bi trebale sistematski skeniraju svoje sisteme tražeći znakove infekcije, uključujući prisustvo sumnjivih datoteka kao što su transformers.pyz, neobične mrežne veze s IP adresama koje kontroliraju napadači i neočekivane izmjene IDE postavki, hookova ili planiranih zadataka. U slučajevima visokog rizika, izolacija pogođenih Linux hostova i njihova ponovna izgradnja iz čistih slika može biti najsigurniji postupak.
Poziv na buđenje za vještačku inteligenciju i sigurnost lanca snabdijevanja otvorenog koda
Incident sa Mistral AI PyPI naglašava širi trend: Okviri umjetne inteligencije i ekosistemi programera postali su glavne mete za finansijski motivisane i potencijalno povezane s državom napadače. Umjesto direktnog iskorištavanja aplikacija krajnjih korisnika, protivnici sve više ciljaju na lanac snabdijevanja softverom koji je osnova modernih razvojnih tokova rada.
Kompromitovanjem registara paketa poput PyPI i npm, napadači mogu dosegnuti hiljade ili čak milione sistema jednim uspješnim probojemNedavna historija je pokazala da je npm posebno atraktivan zbog svoje centralne uloge u JavaScriptu, blockchainu i projektima vezanim za kriptovalute, gdje su oteti paketi korišteni za preusmjeravanje transakcija kriptovaluta ili postavljanje zlonamjernog softvera u botove za trgovanje i alate za pametne ugovore.
U ovom kontekstu, kampanja povezana sa Shai-Huludom i TeamPCP-om manje je izolovani šok, a više nastavak obrasca. Iste tehnike koje djeluju protiv JavaScript ekosistema sada se prilagođavaju i usavršavaju kako bi ciljale na AI stekove zasnovane na Pythonu, amplificando la trampa de dependencia de los LLM, gdje potencijalne nagrade uključuju pristup visokovrijednom kodu modela, vlasničkim skupovima podataka i osjetljivoj korporativnoj infrastrukturi.
Za zajednicu umjetne inteligencije, lekcija je neugodno jasna: Kod za mašinsko učenje je i dalje samo softver, i nasljeđuje sve poznate slabosti tradicionalnih razvojnih praksi. Bez obzira na to koliko je napredna arhitektura modela, nesigurni cjevovodi, slaba higijena održavanja i neprovjerene zavisnosti stvaraju lake prilike za napadače.
Kako organizacije nastavljaju usvajati modele velikih jezika i integrirati umjetnu inteligenciju u svakodnevno poslovanje, incidenti poput ovog guraju sigurnost u prvi plan arhitektonskih odluka. Od provođenja strožih kontrola nad računima održavatelja do uvođenja reproducibilnih verzija i potpisanih izdanja, Sigurnosne mjere zaštite postaju ključne za projekte umjetne inteligencije kao i metrike tačnosti i referentne vrijednosti performansi..
Gledano iz daljine, zlonamjerni softver otkriven u Mistral AI PyPI paketu služi kao oštar podsjetnik da je povjerenje u softverske ekosisteme krhko, posebno kada napadači ciljaju nevidljive instalacije na koje se programeri oslanjaju svaki dan. Jačanje tih temelja - kroz bolje alate, strožu operativnu disciplinu i bližu saradnju između dobavljača umjetne inteligencije, održavatelja i sigurnosnih timova - bit će ključno za sprječavanje budućih napada na lanac snabdijevanja da se tiho šire kroz same okvire namijenjene pokretanju sljedeće generacije inteligentnih aplikacija.
