Скомпрометированные пакеты Mistral AI и TanStack могли раскрыть учетные данные GitHub, облачных сервисов и CI/CD в ходе кампании «Mini Shai-Hulud»

1 час назад / Технологии → Новости / Технологии

Microsoft Threat Intelligence сообщила в понедельник о расследовании компрометации пакета mistralai в репозитории PyPI. По данным компании, злоумышленники внедрили вредоносный код, который автоматически выполнялся при импорте пакета, загружал дополнительную полезную нагрузку, замаскированную под transformers.pyz, и запускал вредоносное ПО на Linux-системах. Этот инцидент, по мнению исследователей, может быть связан с более масштабной кампанией по атакам на цепочки поставок программного обеспечения под названием «Mini Shai-Hulud», нацеленной на экосистемы разработчиков.

Согласно данным Microsoft, скомпрометированная версия пакета mistralai 2.4.6 содержала вредоносный код, вставленный в файл mistralai/client/__init__.py. Этот код незаметно загружал файл с удаленного IP-адреса в /tmp/transformers.pyz и запускал его в фоновом режиме при каждом импорте пакета на Linux-машинах. Имя файла было выбрано так, чтобы напоминать широко используемый AI-фреймворк Transformers от Hugging Face, что позволяло вредоносному ПО маскироваться в средах машинного обучения. Microsoft заявила, что полезная нагрузка второй стадии в основном функционировала как стилер учетных данных, но также содержала логику, зависящую от страны, и деструктивную ветвь, способную выполнять команду

rm -rf /

при определенных географических условиях. Вредоносное ПО содержало логику, предназначенную для избегания русскоязычных сред, что часто наблюдается в некоторых кампаниях киберпреступников.

Microsoft расследует компрометацию пакета mistralai PyPI v2.4.6. Злоумышленники внедрили код в mistralai/client/__init__.py, который выполняется при импорте, загружает hxxps://83[.]142[.]209[.]194/transformers.pyz в /tmp/transformers.pyz и запускает полезную нагрузку второй стадии на Linux.

Это заявление было сделано на фоне растущей волны атак на цепочки поставок, затрагивающих экосистемы npm и PyPI. Ранее в понедельник компания Aikido предупредила, что вредоносные версии пакетов, связанных с популярной экосистемой TanStack JavaScript, были скомпрометированы в ходе двух отдельных волн атак, начавшихся около 22:20 по московскому времени. Затронутые пакеты включали @tanstack/react-router, @tanstack/history и @tanstack/router-core, которые еженедельно загружаются десятки миллионов раз. Позже Aikido сообщила, что несколько npm SDK-пакетов Mistral также были скомпрометированы в рамках той же кампании «Mini Shai-Hulud», включая @mistralai/mistralai, @mistralai/mistralai-azure и @mistralai/mistralai-gcp. Компания предупредила разработчиков о необходимости немедленно сменить токены GitHub, учетные данные npm, ключи API облачных сервисов и секреты CI/CD, если затронутые пакеты были установлены.

Microsoft публично не связывала компрометацию PyPI с кампанией Mini Shai-Hulud. Однако инциденты имеют несколько общих характеристик, включая внедрение вредоносного кода в доверенные пакеты, поэтапную загрузку полезной нагрузки, кражу учетных данных и автоматическое выполнение во время установки или импорта. Это совпадение вызывает опасения, что злоумышленники все чаще нацеливаются на инфраструктуру разработчиков, а не на конечных пользователей. Современные среды разработки часто содержат ценные учетные данные, включая токены доступа GitHub, ключи развертывания облачных сервисов, SSH-ключи, токены публикации npm и доступ к системам CI/CD. Скомпрометированная рабочая станция разработчика или CI-раннер может предоставить злоумышленникам путь в гораздо более крупные программные экосистемы, позволяя распространять вредоносные обновления через легитимные каналы распространения пакетов.

Атаки на цепочки поставок стали серьезной проблемой для всей индустрии программного обеспечения из-за масштабов повторного использования доверенных зависимостей. Один скомпрометированный пакет может быстро распространиться на тысячи дочерних приложений, корпоративных сред и производственных систем. Microsoft рекомендовала организациям изолировать затронутые Linux-хосты, заблокировать исходящие соединения с вредоносным IP-адресом, провести поиск индикаторов, включая /tmp/transformers.pyz, pgmonitor.py и pgsql-monitor.service, и немедленно сменить все потенциально скомпрометированные учетные данные. Расследование инцидентов продолжается, и по мере аудита инфраструктуры могут быть выявлены дополнительные затронутые пакеты.