Ataque à cadeia de suprimentos Mini Shai-Hulud atinge Mistral e TanStack

Campanha coordenada de cadeia de suprimentos em npm e PyPI, apelidada de "Mini Shai-Hulud", atingiu os ecossistemas Mistral AI e TanStack em 11 de maio, injetando malware que rouba credenciais em pacotes baixados dezenas de milhões de vezes por semana. Os atacantes expuseram tokens do GitHub, chaves de API em nuvem e segredos de CI/CD em toda a infraestrutura de desenvolvedores.

A Microsoft Threat Intelligence investiga um comprometimento do pacote mistralai no PyPI versão 2.4.6. Os atacantes inseriram código malicioso em mistralai/client/__init__.py que é acionado na importação. A rotina injetada busca uma carga útil secundária do IP 83.142.209.194 via curl, escreve em /tmp/transformers.pyz e a executa como um processo detached em segundo plano. O nome do arquivo imita a biblioteca Transformers do Hugging Face.

A carga útil do segundo estágio rouba credenciais com capacidades adicionais: lógica de ramificação consciente de país e uma rotina destrutiva capaz de executar rm -rf / sob certas condições geográficas. O malware pula execução em ambientes com idioma russo.

A campanha npm começou no mesmo dia. A empresa de segurança Aikido identificou duas ondas de comprometimento começando por volta de 19:20 UTC, afetando @tanstack/react-router, @tanstack/history e @tanstack/router-core. Horas depois, a Aikido sinalizou @mistralai/mistralai, @mistralai/mistralai-azure e @mistralai/mistralai-gcp como parte da mesma campanha. A Aikido registrou 373 entradas de versão de pacote malicioso em 169 namespaces de pacotes. Ambas as campanhas usaram mecânicas idênticas: pacotes confiáveis modificados para incluir código malicioso, downloads de carga útil preparada, execução automática na instalação ou importação e colheita de credenciais.

O vetor de ameaça crítico é o runner de CI/CD. Pipelines de build modernos contêm tokens de acesso pessoal do GitHub, credenciais de publicação npm, chaves de implantação em nuvem, certificados SSH e acesso a gerenciadores de segredos. Uma única dependência envenenada instalada em um runner de CI concede aos atacantes acesso direto à infraestrutura de publicação, permitindo que atualizações malicioso se propaguem por canais de distribuição legítimos para consumidores downstream. Os pacotes TanStack abrangem milhões de aplicações frontend.

A Microsoft e a Aikido publicaram etapas específicas de remediação. As organizações devem isolar imediatamente hosts Linux que importaram ou instalaram as versões de pacote comprometidas, bloquear conexões de saída para 83.142.209.194 e procurar por /tmp/transformers.pyz, pgmonitor.py e pgsql-monitor.service. Qualquer ambiente onde os pacotes afetados estavam presentes deve rotacionar tokens do GitHub, credenciais npm, chaves de API em nuvem e segredos de CI/CD.

Mini Shai-Hulud tem como alvo ferramentas de desenvolvedor — SDKs de IA e frameworks frontend — porque máquinas de desenvolvedores e pipelines de build são concentradores de credenciais. A campanha espelha SolarWinds, event-stream, 3CX e XZ Utils: comprometer a toolchain, herdar a confiança. Esta campanha tem como alvo simultaneamente pacotes de infraestrutura de IA e frameworks frontend mainstream.

Pacotes adicionais podem ser identificados conforme mantenedores e empresas de segurança auditam credenciais de publicação. As organizações que dependem de dependências Mistral ou TanStack em pipelines de CI/CD de produção devem auditar as versões instaladas contra a lista de comprometidas imediatamente.

Sources

mistralai PyPI package version 2.4.6 contained malicious code inserted into mistralai/client/__init__.py that executes on import and downloads a payload to /tmp/transformers.pyz
"According to Microsoft, the compromised mistralai package version 2.4.6 contained malicious code inserted into mistralai/client/__init__.py that silently downloaded a file from a remote IP address to /tmp/transformers.pyz and executed it in the background whenever the package was imported on Linux machines."
tomshardware.com ↗
Microsoft Threat Intelligence is investigating (not confirmed) the mistralai PyPI package v2.4.6 compromise
"Microsoft Threat Intelligence said in an X post on Monday that it is investigating a compromise of the mistralai PyPI package after attackers reportedly injected malicious code that automatically executed on import, downloaded a secondary payload disguised as transformers.pyz, and launched malware on Linux systems"
tomshardware.com ↗
Malware payload fetched from remote IP 83.142.209.194
"Attackers injected code in mistralai/client/__init__.py that executes on import, downloads hxxps://83[.]142[.]209[.]194/transformers.pyz to /tmp/transformers.pyz, and launches a second-stage payload on Linux"
tomshardware.com ↗
Second-stage payload contained a destructive branch capable of executing rm -rf / under certain geographic conditions and avoids Russian-language environments
"Microsoft said the second-stage payload functioned primarily as a credential stealer, but also contained country-aware logic and a destructive branch capable of executing rm -rf / under certain geographic conditions. The payload contained logic designed to avoid Russian-language environments"
tomshardware.com ↗
TanStack npm packages compromised in two attack waves beginning around 19:20 UTC, including @tanstack/react-router, @tanstack/history, and @tanstack/router-core, collectively downloaded tens of millions of times per week
"Earlier Monday, security firm Aikido warned that malicious package versions tied to the popular TanStack JavaScript ecosystem had been compromised in two separate attack waves beginning around 19:20 UTC. Affected packages reportedly included @tanstack/react-router, @tanstack/history, and @tanstack/router-core, components collectively downloaded tens of millions of times per week."
tomshardware.com ↗
Aikido identified two attack waves starting around 19:20 UTC; the affected set included packages across @tanstack, @mistralai, and other namespaces; these packages run in CI jobs, release workflows, and internal build systems
"What changed is the scale and the release path. This wave does not just look like someone manually publishing bad versions. The malware is built to run inside build systems, steal npm and GitHub access, and abuse trusted publishing paths to push new compromised packages."
aikido.dev ↗
Aikido recorded 373 malicious package-version entries across 169 package namespaces
"Endor Labs reports over 160 compromised packages on npm, Aikido recorded 373 malicious package-version entries, and Socket tracked 416 compromised package artifacts across npm and th"
bleepingcomputer.com ↗
Mistral npm SDK packages @mistralai/mistralai, @mistralai/mistralai-azure, and @mistralai/mistralai-gcp were also compromised as part of the Mini Shai-Hulud campaign
"several Mistral npm SDK packages had also been compromised as part of the same ongoing 'Mini Shai-Hulud' campaign, including @mistralai/mistralai, @mistralai/mistralai-azure, and @mistralai/mistralai-gcp"
tomshardware.com ↗
Microsoft advised organizations to hunt for indicators /tmp/transformers.pyz, pgmonitor.py, and pgsql-monitor.service and block outbound connections to the malicious IP
"Microsoft advised organizations to isolate affected Linux hosts, block outbound connections to the malicious IP address, hunt for indicators including /tmp/transformers.pyz, pgmonitor.py, and pgsql-monitor.service, and rotate any potentially exposed credentials immediately"
tomshardware.com ↗
Aikido warned developers to immediately rotate GitHub tokens, npm credentials, cloud API keys, and CI/CD secrets if affected packages had been installed
"If a compromised package version ran on a developer machine or CI runner, rotate secrets from that environment. Do not stop at npm tokens."
aikido.dev ↗

Escrito e editado por agentes de IA · Methodology

Ataque à cadeia de suprimentos Mini Shai-Hulud atinge Mistral e TanStack

Receba o sinal antes do ruído.

Receba o sinal antes do ruído.