- Pahatahtlik kood süstiti PyPI ametlikku Mistral AI SDK paketti, mis töötab automaatselt Linuxi süsteemides.
- Pahavara laadis alla teise etapi faili nimega transformers.pyz, et varastada arendaja volitusi ja muid tundlikke saladusi.
- Juhtum on seotud laiema Shai-Hulud / TeamPCP tarneahela kampaaniaga, mis rikkus üle 170 npm ja mitu PyPI paketti.
- Eksperdid kutsuvad arendajaid üles tehisintellekti ja avatud lähtekoodiga projektides tokeneid vahetama, sõltuvusi lukustama ja nakkusi otsima.
Mistral AI ametlik tarkvaraarenduskomplekt, mida levitatakse populaarse Pythoni repositooriumi PyPI kaudu, sisaldab järgmist: salajane pahavara, mis aktiveerus vaikselt Linuxi süsteemides niipea kui arendajad ohustatud paketi importisid. Avastus on tekitanud uusi muresid selle kohta, kui haavatavad tänapäeva tehisintellekt ja avatud lähtekoodiga tarneahelad tegelikult on.
Microsofti ja teiste turvauurijate jagatud tehniliste üksikasjade kohaselt smugeldati pahatahtlik kood otse usaldusväärsesse Mistrali tehisintellekti paketti ja kuritarvitatud automatiseeritud avaldamiskanaleid ja arendustööriistuTuhandete masinõppemudelitega töötavate inseneride jaoks on see juhtum järjekordne meeldetuletus, et isegi laialdaselt usaldusväärsed SDK-d võivad üleöö nakkusvektoriteks muutuda.
Kuidas pahatahtlik kood Mistral AI PyPI paketti sattus
Uurijate teatel õnnestus ründajatel sisestada pahatahtlik loogika PyPI-l majutatud mistralai paketti, keskset keskust, millele Pythoni arendajad toetuvad teekide ja raamistike installimiseks. Microsoft Threat Intelligence teatas, et muudetud pakett sisaldas täiendavat koodi, mis käivitus Linuxi masinatel automaatselt iga kord, kui SDK-d projektides kasutati.
Kahjulik loogika laadis alla teise etapi kasuliku koormuse nimega transformers.pyz serverist, hoides seda all /tmp kataloogi ja käivitades selle vaikselt taustal. Turvaanalüütikud märkisid, et valitud failinimi näib olevat tahtlikult loodud meenutama legitiimset Hugging Face Transformers teeki, mis on tehisintellekti ja masinõppe keskkondades äärmiselt levinud sõltuvus, mistõttu pahavara sulandub tavaliste tööriistadega.
Ühes ohustatud versioonis märkasid teadlased petturlikku koodijuppi fail mistralai/client/__init__.pyNiipea kui moodul imporditi, võttis lisakood ühendust ründaja kontrollitava IP-aadressiga ja laadis selle alla. transformers.pyz ja käivitada see ilma nähtavate viipade või kasutaja sekkumiseta. Arendaja vaatenurgast nägi kõik välja nagu tavalise SDK rutiinne importimine.
Pärast avastamist Pythoni paketiindeksi hooldajad pani Mistrali tehisintellekti projekti karantiini staatusesse, blokeerides uurimise ajal tõhusalt teadaolevate halbade versioonide edasist levitamist. Selle meetme eesmärk on leviku piiramine, kuigi kõik süsteemid, mis on varem pahatahtlikke versioone installinud, võivad endiselt ohus olla.
Mida pahavara teeb, kui see arendajate süsteemidesse satub
Kui teise etapi fail transformers.pyz töötab, selle peamine ülesanne on koguda mõjutatud keskkonnast tundlikku teavet. Microsoft ja sõltumatud turvameeskonnad kirjeldavad pahavara kui volituste varastajat, mis on loodud autentimisandmete väljafiltreerimiseks, millest arendajad sõltuvad koodi, pilveteenuste ja infrastruktuuri haldamisel.
Pahatahtliku koormuse sihtmärgid sisselogimisandmed, juurdepääsutokenid ja muud saladused mis annavad juurdepääsu platvormidele nagu GitHub või npm, pilveteenuse pakkujatele, Kubernetes klastritele ja SSH-ga ligipääsetavatele serveritele. Mõnes analüüsis täheldati ka pahavara integreerumist arendustööriistadesse, sealhulgas VS Code'i automaatse käivitamisega seotud elementidesse ja konksudesse, mis on seotud koodiabilised, et säilitada püsivust ja laiendada selle ulatust.
Turvafirma Aikido Security ja teised eksperdid hoiatasid, et paljudel juhtudel Ainult ohustatud Mistral AI paketi desinstallimisest ei piisa nakatunud süsteemi täielikuks puhastamiseks. Kui pahavara on juba kinnistunud, võib see installida lisakomponente, muuta konfiguratsioonifaile või seadistada automatiseeritud ülesandeid, mis jätkavad töötamist ka pärast algse SDK eemaldamist.
Üks eriti murettekitav detail on see, et see kampaania väidetavalt ründab paroolihaldureid nagu 1Password ja BitwardenNende tööriistadega seotud andmetele juurde pääsedes või neid pealt kuulates suurendavad ründajad oma võimalusi hankida ühest ohustatud masinast laia valikut saladusi, alates isiklikest sisselogimistest kuni kõrge privileegiga organisatsioonikontodeni.
Microsoft märkis ka, et pahavara sisaldab piirkonna- ja keeleteadlik käitumineKood püüab vältida vene keeles konfigureeritud süsteeme ja sisaldab loogikat, mis suudab juhuslikult kustutada faile teatud masinatel, mis arvatakse asuvat Iisraelis või Iraanis. See sihipärase kõrvalehoidmise ja hävitavate võimete kombinatsioon on pannud analüütikud käsitlema operatsiooni enama kui lihtsalt üldise volituste haaramise kampaaniana.
Lingid laiema Shai-Huludi ja TeamPCP tarneahela operatsiooniga
Mistral AI PyPI paketi ohtu sattumine ei ole üksikjuhtum. Mitmed aruanded seovad seda tegevust suurem tarneahela kampaania, mida tuntakse kui "Shai-Hulud", mis on olnud aktiivne vähemalt septembrist saati ja keskendub arendajate ökosüsteemide nakatamisele usaldusväärsete pakettide muutmise teel.
Shai-Huludi rühmituse all on ründajad väidetavalt kasutanud varastatud või kuritarvitatud hooldaja volitused, valed konfiguratsioonid ja vead GitHub Actionsis sisse murda legitiimsetesse avaldamiskanalitesse. Kui nad on sees, saavad nad lähtekoodifailidesse süstida pahatahtlikku koodi ja saata paketiregistritesse allkirjastatud, täielikult kehtivaid väljaandeid, muutes kahjulikud versioonid autentsetest värskendustest peaaegu eristamatuks.
Üks kampaania laine, mida mõnikord kirjeldatakse kui „Mini Shai-Huludi” pealetung, väidetavalt kahjustas 11. mail 2026 ühe koordineeritud tarneahela rünnaku käigus enam kui 170 npm paketti ja vähemalt kahte PyPI paketti. Kokku loendasid teadlased nendes projektides avaldatud üle 400 pahatahtliku versiooni, millest paljud olid seotud laialdaselt kasutatava tehisintellekti ja avatud lähtekoodiga tööriistadega.
Ohutegurite rühmitus, mida tuntakse kui TeamPCP-d on korduvalt mainitud selle operatsiooni taga oleva jõuna.Turvakogukonna konto VX-Underground tõi X-is esile, et niinimetatud „Shai-Hulud Git ussi” täielikult relvastatud versioon on tehtud kättesaadavaks avatud lähtekoodina. Kui see samm vastab tõele, lihtsustaks see teistel osalejatel samade tehnikate taaskasutamist või kohandamist teiste tarkvaraökosüsteemide vastu.
Mis seda tüüpi kampaaniat eriti ohtlikuks teeb, on see, et isepaljunev käitumine seotud pakettide vahelKui ründajad on saanud hooldaja või projekti volikirjad, saavad automatiseeritud skriptid loetleda selle identiteediga seotud teisi repositooriume, sisestada sarnaseid koormusi mitmesse koodibaasi ja avaldada uuesti pealtnäha õigustatud värskendusi, muutes ühe ohustatud koodi palju laiemaks mürgitatud sõltuvuste võrgustikuks.
Mistrali tehisintellekti vastus ja TanStackiga seotud tarneahela vaatenurk
Mistral AI tunnistas oma veebisaidil avaldatud avalduses, et selle SDK ametlikku väljaannet PyPI-s mõjutas tarneahela rünnak seotud laiema turvaintsidendiga, mis puudutas TanStacki. Ettevõtte sõnul vallandas selle kampaaniaga seotud automatiseeritud uss nii npm- kui ka PyPI-pakettide manipuleeritud versioonide avaldamise.
Mistral märkis, et praegused leiud viitavad arendaja seade on ohustatud, mitte ettevõtte põhiinfrastruktuuri otsene rikkumine. Mistrali sõnul puuduvad uurimise praeguses etapis tõendid selle kohta, et ründajad oleksid ettevõtte sisemisi süsteeme või hostitud mudeli infrastruktuuri üle võtnud või muutnud.
See on kooskõlas Shai-Huludiga seotud tegevuses täheldatud üldise mustriga, kus ründajad keskenduvad arendajate lõpp-punktidele ja CI/CD torujuhtmetele mitte andmekeskustes või tootmisserverites. Isiklike masinate nõrkade lülide või valesti konfigureeritud automatiseerimistöövoogude kuritarvitamise abil saavad nad pahavara süstida täpselt sinna kohta, kus usaldusväärsed binaarfailid ja paketid luuakse ja allkirjastatakse.
Kuigi see võib Mistrali põhiinfrastruktuuri säästa, jätab see siiski suure hulga arendajaid ja organisatsioone ohtu. Iga meeskond, kes tõi oma projektidesse ohustatud SDK versiooni, võib potentsiaalselt... tahtmatult integreeris pahatahtliku koodi arendus- või tootmiskeskkondadesse, olenevalt sellest, kuidas ja kuhu pakett juurutati.
Ettevõte seisab nüüd silmitsi väljakutsega taastada usaldus oma SDK-de ja protsesside vastu ajal, mil tehisintellekti tööstus on terava kontrolli all privaatsuse, töökindluse ja turvalisuse osas. Uute versioonide sarnaste rünnakute vastu kaitsmise demonstreerimine on tõenäoliselt nii Mistrali kui ka teiste olukorda tähelepanelikult jälgivate tehisintellekti pakkujate prioriteet.
Millised andmed on ohus ja kuidas arendajad peaksid reageerima
Turvaeksperdid rõhutavad, et selle pahavara perekonna lõppeesmärk on koguda võimalikult palju väärtuslikke volitusi süsteemidest, millele see maandub. Tehisintellekti tööriistadega töötavate meeskondade jaoks hõlmab see GitHubi juurdepääsutokeneid, npm-i mandaate, pilve API-võtmeid, Kubernetesi teenusekontosid, SSH-võtmeid ja CI/CD-torujuhtmetes kasutatavaid saladusi.
Kuna pahavara üritab integreeruda arenduskeskkondadesse ja automatiseerimiskonksudesse, plahvatusraadius võib ulatuda ühest tööjaamast kaugemaleKui varastatud volitused annavad juurdepääsu organisatsiooni Giti hoidlatele, paketiregistritele või pilvejuurutustele, saavad ründajad liikuda horisontaalselt ja muuta teisi projekte või infrastruktuuri.
Turvaeksperdid ja müüjad kutsuvad organisatsioone, kes võivad olla installinud ohustatud paketiversiooni, üles astuma viivitamatuid samme. Esiteks peaksid arendajad vahetage kõiki asjakohaseid volitusi ja märke, sealhulgas GitHub, npm ja pilvevõtmed, samuti ehitusserverite ja juurutustorustike kasutatavad saladused.
Järgmisena soovitatakse meeskondadel auditeerida oma sõltuvuspuid, kontrollides lukustusfaile ja paketimanifeste versioonid, mis on teadaolevalt pahatahtlikuks märgitudSõltuvuste kinnitamine usaldusväärsetele ja kontrollitud versioonidele ning pimedate uuenduste vältimine aitab piirata kokkupuudet sarnaste tarneahela rünnakute korral tulevikus.
Lõpuks peaksid organisatsioonid süstemaatiliselt skannida oma süsteeme nakkusnähtude suhtes, sealhulgas kahtlaste failide olemasolu, näiteks transformers.pyz, ebatavalised võrguühendused ründaja kontrolli all olevate IP-aadressidega ja ootamatud muudatused IDE-sätetes, konksudes või ajastatud ülesannetes. Kõrge riskiga juhtudel võib kõige ohutum toimimisviis olla mõjutatud Linuxi hostide isoleerimine ja nende taastamine puhastest kujutistest.
Äratuskell tehisintellekti ja avatud lähtekoodiga tarneahela turvalisuse jaoks
Mistrali tehisintellekti PyPI intsident rõhutab laiemat suundumust: Tehisintellekti raamistikest ja arendajate ökosüsteemidest on saanud peamised sihtmärgid rahaliselt motiveeritud ja potentsiaalselt riigiga seotud ründajate jaoks. Lõppkasutajate rakenduste otsese ärakasutamise asemel sihivad vastased üha enam tarkvara tarneahelat, mis on tänapäevaste arendusprotsesside aluseks.
Pakettregistrite (nt PyPI ja npm) ohtu seadmisega saavad ründajad jõuda ühe eduka rikkumisega tuhandete või isegi miljonite süsteemideniHiljutine ajalugu on näidanud, et npm on eriti atraktiivne oma keskse rolli tõttu JavaScripti, plokiahela ja krüptoga seotud projektides, kus kaaperdatud pakette on kasutatud krüptovaluutatehingute ümbersuunamiseks või pahavara paigutamiseks kauplemisrobotitesse ja nutikatesse lepingutööriistadesse.
Selles kontekstis on Shai-Huludi ja TeamPCP-ga seotud kampaania vähem isoleeritud šokk ja pigem mustri jätk. Samu tehnikaid, mis toimivad JavaScripti ökosüsteemide vastu, kohandatakse ja täiustatakse nüüd Pythoni-põhiste tehisintellekti pakettide sihtimiseks, võimendades seda veelgi. trampa dependencia de los LLM, kus potentsiaalsete hüvede hulka kuulub juurdepääs väärtuslikule mudelkoodile, patenteeritud andmekogumitele ja tundlikule ettevõtte infrastruktuurile.
Tehisintellekti kogukonna jaoks on õppetund ebamugavalt selge: Masinõppe kood on ikkagi vaid tarkvaraja see pärib kõik traditsiooniliste arendustavade tuttavad nõrkused. Olenemata mudeli arhitektuuri arengust, loovad ebaturvalised torujuhtmed, nõrk hooldaja hügieen ja kontrollimata sõltuvused ründajatele lihtsaid võimalusi.
Kuna organisatsioonid jätkavad suurte keelemudelite kasutuselevõttu ja tehisintellekti integreerimist igapäevategevusse, seavad sellised intsidendid turvalisuse arhitektuuriliste otsuste esiplaanile. Alates rangema kontrolli kehtestamisest hooldajate kontodele kuni reprodutseeritavate järkude ja allkirjastatud versioonide kasutuselevõtuni. Turvameetmed on tehisintellekti projektides muutumas sama keskseks kui täpsusnäitajad ja jõudlusnäitajad..
Kaugelt vaadates tuletab Mistral AI PyPI paketis avastatud pahavara otsekoheselt meelde, et usaldus tarkvara ökosüsteemide vastu on habras, eriti kui ründajad sihivad nähtamatut torustikku, millele arendajad iga päev toetuvad. Nende aluste tugevdamine – paremate tööriistade, rangema operatiivdistsipliini ja tehisintellekti müüjate, hooldajate ja turvameeskondade vahelise tihedama koostöö kaudu – on ülioluline, et takistada tulevaste tarneahela rünnakute vaikset levikut just nendes raamistikes, mis on mõeldud järgmise põlvkonna intelligentsete rakenduste jõustamiseks.
