黑客将恶意软件插入 Mistral AI 软件下载中

简要概述

• 微软表示攻击者入侵了开发者使用的Mistral AI软件下载。
• 恶意软件据称窃取了凭证，并可能损坏一些Linux系统。
• Mistral表示没有证据表明其基础设施被攻破。

微软威胁情报部门周一表示，攻击者在通过PyPI——开发者用来下载Python软件工具的流行平台——分发的Mistral AI软件包中插入了恶意代码。 微软在X平台上发布的消息中表示，当开发者在Linux系统上使用该软件时，恶意代码会自动运行。该代码从远程服务器下载了一个名为transformers.pyz的第二个恶意文件，并在后台启动它。 “文件名transformers.pyz似乎是故意选择的，旨在模仿广泛使用的Hugging Face Transformers库，并融入机器学习/开发环境中，”微软写道。

该公司表示，恶意软件主要作为凭证窃取工具，能够收集开发者的登录信息和访问令牌。微软还表示，该恶意软件避免在俄语系统中运行，并包含可以随机删除某些系统中文件的代码，这些系统似乎位于以色列或伊朗。 报道将此次最新攻击与自九月开始的更广泛的“Shai-Hulud”恶意软件行动联系起来，该行动通过感染可信的开发者包并窃取受感染系统的凭证，针对软件供应链展开攻击。  “Shai-Hulud，这个大家一直在谈论的恐怖Git蠕虫，已经开源了，”网络安全公司VX Underground在X上写道。“这意味着什么？TeamPCP或其他人已经发布了完全武装的蠕虫供你使用。”

微软建议组织隔离受影响的Linux系统，阻止相关的互联网地址，搜索感染迹象，并更换可能暴露的凭证。 周二，Mistral在其官网表示，受到与更广泛的TanStack安全事件相关的供应链攻击影响。公司表示，一种与此次攻击相关的自动蠕虫导致受影响的NPM和PyPI软件包版本被发布。 “目前的调查显示，涉及一台受影响的开发者设备，”公司写道。“我们没有迹象表明Mistral的基础设施被攻破。” Node Package Manager或NPM是全球最大的JavaScript开发者软件下载平台之一。由于许多区块链应用、钱包和交易平台依赖通过该服务分发的软件，它逐渐成为加密相关网络攻击的目标。九月，Ledger的首席技术官Charles Guillemet警告称，黑客已攻破广泛使用的NPM包，进行攻击，可能重定向加密交易并窃取资金。 “受影响的软件包已被下载超过10亿次，这意味着整个JavaScript生态系统可能面临风险，”Guillemet当时在X上写道。 其他近期攻击利用被污染的NPM包，这些包与假冒的加密交易机器人和区块链工具相关，通过以太坊智能合约传播恶意软件。