黑客在 Mistral AI 軟件安裝包植入惡意軟件

金色財經報道，5月13日，微軟威脅情報部門披露，攻擊者將惡意代碼植入通過 PyPI 平臺分發的 Mistral AI 軟件包。該惡意代碼在開發者於 Linux 系統使用時自動運行，下載名爲 transformers.pyz 的惡意文件並在後臺執行，文件名刻意模仿廣泛使用的 Hugging Face Transformers 庫以混淆視聽。 微軟指出，該惡意軟件主要竊取開發者登錄憑證和訪問令牌，並會避開俄語系統，部分代碼可隨機刪除位於以色列或伊朗的設備文件。此次攻擊與 9 月啓動的“Shai-Hulud”供應鏈攻擊活動相關。Mistral 回應稱，調查顯示攻擊源於被入侵的開發者設備，公司基礎設施未被攻破。