Jeśli masz zainstalowane mistralai==2.4.6 lub guardrails-ai==0.10.1 — nie rób jeszcze jednej rzeczy: nie odwołuj tokenu npm z dashboardu zanim nie wyizolujesz i nie skopiujesz obrazu systemu. Malware zawiera destrukcyjną procedurę która uruchamia rm -rf ~/ jeśli token zostanie odwołany. Najpierw izolacja, potem rotacja wszystkich poświadczeń.
Trzy dni po tym jak TanStack, Mistral AI, UiPath i OpenSearch zostały zaatakowane przez Mini Shai-Hulud, na forum hakerskim pojawiło się ogłoszenie pod nazwą TeamPCP.
Treść: 450 wewnętrznych repozytoriów Mistral AI. 5 GB. Cena: 25 000 dolarów. Termin: tydzień. Jeśli nikt nie kupi — publiczny wyciek.
Na liście repozytoriów: mistral-inference-internal, mistral-finetune-internal, chatbot-security-evaluation, devstral-cloud, pfizer-rfp-2025.
To ostatnie wymaga osobnego zdania: Pfizer. Jeśli to repozytorium zawiera to co nazwa sugeruje — dane z projektu klienta, potencjalnie z wdrożenia AI dla jednej z największych firm farmaceutycznych na świecie — skala potencjalnej ekspozycji wykracza daleko poza Mistral.
Mistral opublikował dwa advisory potwierdzające że SDK na npm i PyPI zostały skompromitowane przez atak powiązany z incydentem TanStack. Firma zaznacza że "obecne dochodzenie wskazuje że zaangażowane było urządzenie dotknietego dewelopera." Kluczowe słowo: "obecne." Dochodzenie trwa.
Co Wiz znalazł w ładunku
Wiz opublikował szczegółową analizę ładunku w pakietach Mistral i Guardrails AI — i jest tam jeden szczegół który zasługuje na pełne opisanie.
Malware zawiera logikę geograficzną. Na systemach z lokalizacją rosyjską: wyjście bez działania. Na systemach z lokalizacją izraelską lub irańską: 1 na 6 szans uruchomienia rm -rf / — rekurencyjnego usunięcia całego systemu plików. Microsoft w swojej analizie potwierdza dokładnie ten sam mechanizm z adresem IP 83.142.209.194 jako serwerem pobierającym drugi etap.
Złośliwe oprogramowanie które ma wyłącznik dla rosyjskich środowisk i destrukcyjny komponent geofencowany na Izrael i Iran to nie jest przypadkowy feature. Jest to sygnał geopolityczny wbudowany w finansowo motywowaną kampanię. Czy to oznacza sponsoring państwowy, ideologię operatorów, czy celowe zamieszanie atrybuacyjne — nie wiadomo. Ale obecność tego mechanizmu w narzędziu które przez ostatnie miesiące było opisywane wyłącznie jako finansowo motywowane jest nowym elementem.
W analizie TeamPCP opisywaliśmy CanisterWorm — komponent z identycznym wzorcem: wyłącznik dla irańskiego locale, destrukcja infrastruktury na wybranych celach. Wtedy pisaliśmy że "żadna z tych teorii nie jest korzystna z punktu widzenia oceny dojrzałości operatorów." Teraz ten sam wzorzec pojawia się po raz drugi, w innym ładunku, przez inny wektor — co czyni hipotezę przypadku mniej prawdopodobną.
Mistral jako "suwerenne AI Europy"
Jest wymiar tej historii który Cybernews opisuje precyzyjnie: Mistral jest pozycjonowany jako europejska alternatywa dla modeli OpenAI i Anthropic — firma której głównym argumentem marketingowym jest właśnie kontrola danych i bezpieczeństwo. Kluczowy punkt sprzedaży dla europejskich klientów instytucjonalnych, rządów i organizacji które nie chcą przechowywać danych na amerykańskich serwerach.
Breach SDK przez skompromitowane urządzenie dewelopera, 450 wewnętrznych repozytoriów na sprzedaż z referencją do projektu dla Pfizera, i żądanie 25 000 dolarów z tygodniowym terminem — to jest uderzenie w fundament propozycji wartości, nie tylko w infrastrukturę.
Mistral nie potwierdziło autentyczności danych z forum. Hackread zaznacza że na moment publikacji nie opublikowano żadnych próbek potwierdzających wiarygodność oferty — TeamPCP może próbować spieniężyć poświadczenia które uzyskie przez SDK bez bezpośredniego dostępu do repozytoriów. Ale brak potwierdzenia nie jest zaprzeczeniem, a godziny liczą się przy 25 000 dolarowym wyścigu.
Pięć elementów tej samej kampanii
TanStack — OIDC token extraction przez cache poisoning GitHub Actions, 84 złośliwe wersje w pięć godzin, pierwsze malicious pakiety z ważnym SLSA Level 3.
Mistral AI SDK — dropper w __init__.py, transformers.pyz jako drugi etap (nazwa celowo naśladuje legalne Hugging Face Transformers), trzy kanały dystrybucji: typosquatted domena, zdecentralizowana sieć Session messenger, repozytoria GitHub na skradzionych tokenach.
Guardrails AI — kod złośliwy wykonujący się na imporcie, podobnie jak podatność SGLang CVE-2026-5760 — klasa "import-time execution" jako mechanizm.
UiPath — 65 pakietów, inny ładunek, ten sam worm.
Teraz: sprzedaż repozytoriów jako osobna monetyzacja skradzionych dostępów.
To jest pełna sekwencja operacji jednej grupy w jednym tygodniu: wejście przez CI/CD → kradzież poświadczeń → propagacja przez skradzione tokeny → sprzedaż skradzionych repozytoriów. Każdy etap niezależnie monetyzowalny.
rm -rf ~/ jeśli odwołasz token
Jest jeden szczegół operacyjny z analizy The Hacker News który jest kontraintuitywny i ważny.
Standardowa pierwsza odpowiedź na wykrycie skompromitowanego tokenu: natychmiastowe odwołanie. W przypadku Mini Shai-Hulud w pakietach Mistral — to jest zła kolejność kroków. Skrypt monitoruje stan tokenu. Jeśli token zostaje odwołany z dashboardu npm zanim system zostanie wyizolowany — uruchamia się destrukcyjna procedura usuwająca pliki domowe użytkownika.
Właściwa kolejność: izolacja systemu od sieci → kopia obrazu do analizy forensycznej → rotacja wszystkich poświadczeń (tokeny GitHub, klucze AWS/GCP, klucze SSH, klucze npm, klucze API narzędzi AI) → dopiero wtedy odwołanie tokenów.
Dla środowisk CI/CD które uruchamiały mistralai==2.4.6 lub guardrails-ai==0.10.1: każde środowisko traktuj jako w pełni skompromitowane, nie jako potencjalnie dotknięte.
Podsumowanie
Ogłoszenie o sprzedaży repozytoriów Mistral to domknięcie tygodnia który zaczął się od TanStack i pierwszego złośliwego pakietu z ważną proweniencją SLSA. TeamPCP weszło przez GitHub Actions, skradło poświadczenia przez pamięć runnera, opublikowało setki zainfekowanych pakietów przez skradzione tokeny OIDC — a potem wystawiło na sprzedaż to co zebrało po drodze.
Wbudowana logika destrukcji geofencowana na Izrael i Iran, ta sama klasa zachowania co CanisterWorm z analizy grupy z marca, pojawia się po raz drugi. To co wyglądało na cechę jednego narzędzia staje się powtarzającym się wzorcem — i wzorzec ten nie jest w pełni wytłumaczony przez "finansowo motywowaną grupę przestępczą."
Źródła
Hackread — ogłoszenie TeamPCP i szczegóły oferty z forum: https://hackread.com/teampcp-mistral-ai-repositories-mini-shai-hulud-attack/
The Hacker News — pełna analiza kampanii i ostrzeżenie o rm -rf~/: https://thehackernews.com/2026/05/mini-shai-hulud-worm-compromises.html
Cybernews — kontekst "suwerennego AI Europy" i implikacje reputacyjne: https://cybernews.com/ai-news/mistral-ai-breach-450-repositories-tanstack-teampcp/
Cryptopolitan — SLSA Level 3 w złośliwych pakietach i logika geofencowania: https://www.cryptopolitan.com/mistral-ai-package-compromised/
SecurityWeek — lista wszystkich dotkniętych pakietów i skala kampanii: https://www.securityweek.com/tanstack-mistral-ai-uipath-hit-in-fresh-supply-chain-attack/
Microsoft Threat Intelligence — analiza mistralai==2.4.6 i potwierdzenie destrukcyjnego payloadu: https://www.microsoft.com/en-us/security/blog/2026/05/12/teampcp-shai-hulud-supply-chain-mistral-analysis
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł