Mistral AI 和 TanStack 遭遇供應鏈攻擊,攻擊者使用了經 SLSA 認證的惡意軟件。
攻擊者入侵了 PyPI 上的官方 Mistral AI Python 包以及數百個其他廣泛使用的開發者包,導致整個 AI 和加密開發者生態系統中的 GitHub 令牌、雲dent和密碼庫暴露無遺。.
微軟威脅情報部門於 5 月 11 日表示,他們正在調查 mistralai PyPI 軟件包版本 2.4.6,因爲他們發現 mistralai/client/__init__.py 下載輔助有效載荷 83.142.209.194 到 /tmp/transformers.pyz 並在 Linux 系統上啓動它。
微軟正在調查 mistralai PyPI 軟件包 v2.4.6 被入侵事件。攻擊者在 mistralai/client/__init__.py 中注入了代碼,該代碼會在導入時執行,將 hxxps://83[.]142[.]209[.]194/transformers.pyz 下載到 /tmp/transformers.pyz,並在 Linux 系統上啓動第二階段的惡意載荷。… pic.twitter.com/9Xfb07Hcia
— 微軟威脅情報 (@MsftSecIntel) 2026年5月12日
該文件名模仿了 Hugging Face 廣泛使用的 Transformers AI 框架。Mistral 妥協方案是研究人員稱之爲“迷你 Shai-Hulud”的協同行動的一部分。.
安全平臺 SafeDep 報告稱 ,該行動導致 170 多個軟件包被入侵,並在 5 月 11 日至 12 日期間發佈了 404 個惡意版本。
該攻擊帶有 CVE-2026-45321 漏洞,CVSS 評分爲 9.6,嚴重程度爲危急。.
SLSA溯源信任模型剛剛崩潰
這次攻擊在結構上是dent的:惡意軟件包攜帶了有效的 SLSA 構建級別 3 出處證明。.
SLSA 出處是由 Sigstore 生成的加密證書,旨在驗證軟件包是否由可信來源構建。.
Snyk 報告稱, TanStack 攻擊是第一個有記錄的具有有效 SLSA 來源的惡意 npm 包案例,這意味着基於證明的供應鏈防禦現在顯然不足。
攻擊者dent確認爲 TeamPCP,他們利用了三個漏洞:pull_request_target 工作流配置錯誤、GitHub Actions 緩存中毒以及從 GitHub Actions 運行程序進程中運行時內存tracOIDC 令牌。.
惡意提交是用僞造的身份冒充 Anthropic Claude GitHub App 進行的dent前綴爲 [skip ci] 以抑制自動檢查。
惡意軟件竊取的信息以及它的傳播方式
據 Cryptopolitan 報道 2026 年 1 月 Trust Wallet 事件dent 850 萬美元損失,而 Shai-Hulud 蠕蟲自 2025 年 9 月以來已經經歷了多次演變。
最新變種增加了密碼庫盜竊功能, Wiz 研究人員記錄顯示 之外,還針對 1Password 和 Bitwarden 密碼庫dent、Kubernetes 服務帳戶、GitHub 令牌和 npm 發佈dent。
竊取者通過三個冗餘渠道進行外泄:一個域名搶注(git-tanstack.com)、去中心化的 Session 即時通訊網絡,以及用竊取的代幣創建的以 Dune 爲主題的 GitHub 存儲庫。.
如果檢測到俄語設置,惡意軟件將退出。在地理位置位於以色列或伊朗的系統上,它有六分之一的概率執行遞歸擦除(rm -rf /)。
米斯特拉爾風及其更廣泛的生態系統如何應對
Mistral 於 5 月 12 日發佈 安全公告, 稱其核心基礎設施未遭入侵。該公司 trac此次事件dent 一臺被入侵的開發者設備,該設備與更廣泛的 TanStack 供應鏈攻擊活動有關。
mistralai==2.4.6 版本於 5 月 12 日 UTC 時間午夜過後不久上傳,之後 PyPI 將該項目隔離。.
被入侵的 npm 包,包括 @mistralai/mistralai、@mistralai/mistralai-azure 和 @mistralai/mistralai-gcp,在被移除之前已可用數小時。
受影響軟件包的累計每週下載量超過 5.18 億次。僅 @tanstack/react-router 一個軟件包每週的下載量就達到 1270 萬次。.
建議已安裝受影響版本的開發人員輪換雲dent、GitHub 令牌、SSH 密鑰,並交換 API 密鑰,同時檢查 .claude/ 和 .vscode/ 目錄中的持久化鉤子。
不要只是閱讀加密貨幣新聞,要理解它。訂閱我們的新聞簡報, 完全免費。
