Microsoft Threat Intelligence a déclaré lundi enquêter sur une compromission du paquet PyPI mistralai, après des signalements indiquant que des attaquants avaient injecté du code malveillant dans la version 2.4.6. Le code s’exécutait automatiquement à l’importation, téléchargeait une charge secondaire déguisée en transformers.pyz et lançait un logiciel malveillant sur des systèmes Linux.
Dans le message partagé par ses équipes, Microsoft a indiqué que la version compromise contenait du code malveillant inséré dans mistralai/client/__init__.py. Ce code téléchargeait silencieusement un fichier depuis hxxps://83[.]142[.]209[.]194/transformers.pyz vers /tmp/transformers.pyz, avant d’exécuter une seconde étape que les chercheurs décrivent principalement comme un voleur d’identifiants. Microsoft a précisé: « Microsoft is investigating mistralai PyPI package v2.4.6 compromise. Attackers injected code in mistralai/client/__init__.py that executes on import, downloads hxxps://83[.]142[.]209[.]194/transformers.pyz to /tmp/transformers.pyz, and launches a second-stage payload on Linux. »
La charge secondaire contenait aussi une logique de sélection par pays, ainsi qu’une branche destructive capable d’exécuter rm -rf / dans certaines conditions géographiques. Elle incluait également une logique destinée à éviter les environnements russophones. Microsoft n’a pas publiquement attribué cette compromission PyPI à Mini Shai-Hulud.
Le signalement intervient alors qu’une autre alerte a visé plus tôt dans la journée l’écosystème JavaScript. Autour de 19:20 UTC, Aikido a indiqué que des versions malveillantes de paquets liés à TanStack avaient été compromises en deux vagues d’attaque distinctes. Les paquets touchés incluaient @tanstack/react-router, @tanstack/history et @tanstack/router-core, tandis que plusieurs SDK npm de Mistral ont aussi été compromis dans le cadre de la même campagne Mini Shai-Hulud en cours.
Les paquets npm concernés comprenaient @mistralai/mistralai, @mistralai/mistralai-azure et @mistralai/mistralai-gcp. Aikido a averti les développeurs de faire immédiatement tourner les jetons GitHub, les identifiants npm, les clés API cloud et les secrets CI/CD si les paquets affectés avaient été installés. Les paquets TanStack visés avaient été décrits comme totalisant des dizaines de millions de téléchargements par semaine, ce qui donne à l’attaque une portée potentiellement vaste au-delà des seuls outils Mistral.
Cette affaire s’inscrit dans une vague croissante de compromissions de la chaîne d’approvisionnement logicielle touchant à la fois les écosystèmes npm et PyPI. Les chercheurs estiment que l’incident pourrait être lié à la campagne plus large Mini Shai-Hulud, qui cible les environnements de développement en cherchant d’abord des identifiants puis, dans certains cas, des effets destructeurs. Pour les équipes qui ont intégré mistralai ou les paquets npm associés, la question immédiate n’est plus seulement celle du retrait des versions compromises, mais celle de la rotation rapide de tous les secrets qui ont pu être exposés avant la détection.
