Pacotes comprometidos de MISTRAL AI e TanStack podem ter exposto credenciais do GitHub, nuvem e CI/CD em infecção por malware ‘mini Shai Hulud’ – campanha de supply chain se espalha rapidamente entre os ecossistemas de npm e desenvolvedores de IA.

Microsoft Threat Intelligence está investigando a violação do pacote mistralai do PyPI, que aparentemente foi comprometido por atacantes que injetaram um código malicioso. Esse código é executado automaticamente ao importar o pacote, baixando um segundo payload disfarçado como transformers.pyz e lançando malware em sistemas Linux. Este incidente se insere na campanha de comprometimento de cadeia de suprimentos chamada “Mini Shai-Hulud”, que tem como alvo ecossistemas de desenvolvedores.

De acordo com a análise, a versão 2.4.6 do pacote mistralai continha código malicioso inserido em mistralai/client/__init__.py, que siliciosamente baixava um arquivo de um endereço IP remoto para /tmp/transformers.pyz e o executava em segundo plano sempre que o pacote era importado em máquinas Linux. O nome do arquivo parece ter sido escolhido intencionalmente para se assemelhar ao framework de IA Transformer da Hugging Face, possibilitando que o malware se camuflasse em ambientes de aprendizado de máquina e evadisse suspeitas. O payload de segunda etapa, além de roubar credenciais, apresentava lógica geográfica e uma ramificação destrutiva que poderia executar rm -rf / em determinadas condições.

A revelação dessa violação ocorre no contexto de uma crescente onda de compromissos de cadeia de suprimentos de software, afetando tanto o npm quanto o ecossistema do PyPI. Outra empresa de segurança, Aikido, alertou que versões maliciosas de pacotes ligados ao ecossistema popular TanStack JavaScript foram comprometidas em duas ondas de ataque, afetando pacotes como @tanstack/react-router, @tanstack/history e @tanstack/router-core, que juntos são baixados milhões de vezes por semana.

Horas depois, a Aikido reportou que vários pacotes SDK do Mistral do npm também foram comprometidos como parte da mesma campanha “Mini Shai-Hulud”. A recomendação é que os desenvolvedores realizem a rotação imediata de tokens do GitHub, credenciais do npm e chaves de API de nuvem se utilizam os pacotes afetados.

Embora a Microsoft ainda não tenha atribuído publicamente a violação do PyPI à Mini Shai-Hulud, os incidentes compartilham características semelhantes, como a inserção de código malicioso em pacotes confiáveis, downloads de payloads em etapas e roubo de credenciais. Essa sobreposição levanta preocupações sobre o crescente foco dos atacantes na infraestrutura de desenvolvedores, em vez de atacarem diretamente os usuários finais.

Ambientes modernos de desenvolvimento geralmente contêm credenciais valiosas, como tokens de acesso pessoal do GitHub e chaves de implantação de nuvem. Um posto de trabalho de desenvolvedor comprometido ou um runner de CI pode, portanto, abrir portas para os atacantes dentro de ecossistemas de software maiores, permitindo que atualizações maliciosas se espalhem através de canais de distribuição de pacotes legítimos.

A equipe da Microsoft documentou que o comportamento observado no pacote Mistralai reflete esse risco de escalada. O código injetado usava curl para buscar o payload secundário antes de lançá-lo como um processo em segundo plano projetado para operar independentemente da sessão original do Python. O malware também suprimiu erros de execução e limitou sua atividade aos sistemas Linux, que dominam servidores, ambientes de nuvem e muitas cargas de trabalho de IA.

Os ataques de cadeia de suprimentos se tornaram uma preocupação séria na indústria de software devido à vasta reutilização de dependências confiáveis. Um único pacote comprometido pode rapidamente se propagar em milhares de aplicações downstream e ambientes empresariais. Eventos significativos nos últimos anos têm incluído a violação do SolarWinds, o comprometimento do npm do event-stream e a tentativa de backdoor do XZ Utils.

A onda recente é particularmente notável por atingir simultaneamente ferramentas de IA, SDKs de nuvem e frameworks de desenvolvimento frontend amplamente utilizados. Acredita-se que o principal objetivo da campanha seja o roubo de credenciais, permitindo que os atacantes comprometam pacotes adicionais e contas de mantenedores, criando uma cadeia de infecções no ecossistema.

A Microsoft aconselha as organizações a isolarem os hosts Linux afetados, bloquearem conexões de saída para o IP malicioso, procurarem por indicadores como /tmp/transformers.pyz e pgmonitor.py, e rotacionarem credenciais que possam ter sido expostas. As investigações das violações ainda estão em andamento e pacotes adicionais afetados podem ser identificados conforme mantenedores e empresas de segurança auditam a infraestrutura de publicação e credenciais comprometidas.