Шкідливий код у бібліотеці Mistral AI ігнорує росіян у межах масштабної атаки Mini Shai-Hulud

Олександр Кузьменко Таке життя 13 травня 2026, 13:22 2026-05-13 Шкідливий код у бібліотеці Mistral AI ігнорує росіян у межах масштабної атаки Mini Shai-Hulud

Microsoft Threat Intelligence виявила компрометацію популярної бібліотеки mistralai версії 2.4.6 у репозиторії PyPI. Зловмисники впровадили шкідливий скрипт, який викрадає облікові дані розробників, але водночас ігнорує російськомовні системи.

Залишити коментар

Microsoft Threat Intelligence виявила компрометацію популярної бібліотеки mistralai версії 2.4.6 у репозиторії PyPI. Зловмисники впровадили шкідливий скрипт, який викрадає облікові дані розробників, але водночас ігнорує російськомовні системи.

Про інцидент повідомили аналітики Microsoft у дописі в X (Twitter). За даними дослідників, цей випадок може бути частиною ширшої кампанії під назвою Mini Shai-Hulud, що спрямована на ланцюжки постачання програмного забезпечення та націлена безпосередньо на екосистеми розробників.

Шкідливий код було вставлено у файл ініціалізації клієнта (mistralai/client/init.py), що дозволяє йому автоматично виконуватися під час кожного імпорту бібліотеки. Програма завантажує корисне навантаження під назвою transformers.pyz, мімікруючи під відомий фреймворк Hugging Face Transformers, щоб не викликати підозр у ML-фахівців.

Аналіз коду показав, що вірус перевіряє мовні налаштування та локацію хоста. Якщо система ідентифікується як російськомовна, шкідливе ПЗ припиняє свою роботу. Водночас для користувачів в Ізраїлі та Ірані передбачена деструктивна функція: з імовірністю один до шести програма запускає команду повного видалення даних rm -rf /.

Паралельно з інцидентом у PyPI компанія з кібербезпеки Aikido попередила про схожі атаки в екосистемі JavaScript. Зловмисники скомпрометували популярні пакети TanStack, зокрема @tanstack/react-router та @tanstack/history, які мають десятки мільйонів завантажень на тиждень. Також під удар потрапили npm-пакети Mistral SDK для Azure та GCP.

Хоча Microsoft офіційно не пов’язує злам PyPI з кампанією Mini Shai-Hulud, експерти Aikido зазначають, що методи атак ідентичні: впровадження коду в надійні пакети, крадіжка секретів та автоматичне виконання під час інсталяції. Розробникам рекомендують негайно змінити токени GitHub, облікові дані npm та ключі хмарних API, якщо вони використовували вразливі версії пакетів.

Читайте головні IT-новини країни в нашому Telegram По темi Читайте головні IT-новини країни в нашому Telegram

Залишити коментар Текст: Олександр Кузьменко Теги: кібербезпека, microsoft, кібератака, росія Знайшли помилку в тексті – виділіть її та натисніть Ctrl+Enter. Знайшли помилку в тексті – виділіть її та натисніть кнопку «Повідомити про помилку».