据 Decrypt 称,攻击者在通过 PyPI 分发的 Mistral AI 软件包中植入了恶意代码。当开发者在 Linux 系统上使用该软件包时,恶意代码会自动执行,从远程服务器下载一个名为 transformers.pyz 的文件,并在后台运行。该文件名模仿了广泛使用的 Hugging Face Transformers 库。微软的威胁情报团队表示,该恶意软件主要窃取开发者的登录凭据和访问令牌。Mistral 证实一名开发者的机器遭到入侵,但公司的基础设施未受影响。
相关快讯
AI 套件供应链双起攻击:Mistral 与假 OpenAI 模型同遭渗透
Google:大型语言模型被用于实际攻击,AI 可绕过双重认证安全机制
Google 揭首例 AI 制造零日漏洞:黑客欲绕过 2FA 大规模利用
