- PyPI上の公式Mistral AI SDKパッケージに悪意のあるコードが注入され、Linuxシステム上で自動的に実行されるようになっていました。
- このマルウェアは、開発者の認証情報やその他の機密情報を盗むために、transformers.pyzという名前の第2段階ファイルをダウンロードしました。
- この事件は、170以上のnpmパッケージと複数のPyPIパッケージが侵害された、より広範なShai-Hulud / TeamPCPサプライチェーン攻撃に関連している。
- 専門家は、開発者に対し、トークンのローテーション、依存関係のロック、AIおよびオープンソースプロジェクト全体における感染のスキャンを行うよう促している。
人気のPythonリポジトリPyPIを通じて配布されているMistral AIの公式ソフトウェア開発キットには、 Linuxシステム上で静かに作動するステルス型マルウェア 開発者が不正なパッケージをインポートした直後に、この脆弱性が発見された。今回の発見は、現代のAIとオープンソースのサプライチェーンがどれほど脆弱であるかという新たな懸念を引き起こしている。
マイクロソフトや他のセキュリティ研究者が共有した技術的な詳細によると、悪意のあるコードは信頼できるミストラルAIパッケージに直接密かに持ち込まれ、 自動出版パイプラインと開発者ツールを悪用した機械学習モデルを扱う何千人ものエンジニアにとって、今回の事件は、広く信頼されているSDKでさえ、一夜にして感染源になり得ることを改めて思い知らせる出来事となった。
悪意のあるコードがどのようにしてMistral AIのPyPIパッケージに紛れ込んだのか
調査官は、脅威アクターが侵入に成功したと報告している。 PyPIでホストされているmistralaiパッケージに悪意のあるロジックが仕込まれている。これは、Python開発者がライブラリやフレームワークをインストールするために利用する中心的なハブです。Microsoft Threat Intelligenceによると、改ざんされたパッケージには、SDKがプロジェクトで使用されるたびにLinuxマシン上で自動的に実行される追加のコードが含まれていました。
悪意のあるロジックは、第2段階のペイロードをダウンロードしました。 リモートサーバーからのtransformers.pyzそれを保管する /tmp ディレクトリにファイルを作成し、バックグラウンドで静かに実行します。セキュリティアナリストは、選択されたファイル名が、AIや機械学習環境で非常に一般的な依存関係である正規のHugging Face Transformersライブラリに似せるように意図的に作成されていると指摘し、マルウェアが通常のツールに溶け込むようにしています。
改ざんされたバージョンの1つで、研究者たちは内部に不正な断片を発見した。 ファイル mistralai/client/__init__.pyモジュールがインポートされるとすぐに、追加コードは攻撃者が制御するIPにアクセスし、 transformers.pyz そして、何のプロンプトもユーザー操作もなく、そのまま起動する。開発者の視点から見ると、すべてが標準的なSDKのルーチン的なインポートのように見えた。
この発見を受けて、Python Package Indexの管理者は ミストラルAIプロジェクトを隔離措置下に置いた。これにより、調査が継続される間、既知の悪質なバージョンのさらなる配布を効果的に阻止することができます。この措置は拡散を抑えることを目的としていますが、以前に悪質なバージョンをインストールしたシステムは依然として危険にさらされている可能性があります。
マルウェアが開発者のシステムに侵入した後に何をするか
一度 第2段階のファイル transformers.pyz が実行中ですその主な目的は、影響を受けた環境から機密情報を収集することです。マイクロソフトと独立系のセキュリティチームは、このマルウェアを認証情報窃盗マルウェアと表現しており、開発者がコード、クラウドサービス、インフラストラクチャを管理するために必要とする認証データを抜き取るように設計されていると述べています。
悪意のあるペイロードは、 ログイン認証情報、アクセストークン、その他の秘密情報 GitHubやnpmなどのプラットフォーム、クラウドプロバイダー、Kubernetesクラスター、SSHアクセス可能なサーバーへのアクセスを許可する。一部の分析では、マルウェアが開発ツールに統合されていることも確認されており、VS Codeの自動実行に関連する要素や、 アシスタントコード持続性を維持し、その影響力を拡大するため。
セキュリティ会社Aikido Securityやその他の専門家は、多くの場合、 単に不正なMistral AIパッケージをアンインストールするだけでは不十分です。 感染したシステムを完全にクリーンアップするには、マルウェアの駆除が必要です。一度感染すると、マルウェアは追加のコンポーネントをインストールしたり、設定ファイルを変更したり、元のSDKが削除された後も実行され続ける自動タスクを設定したりする可能性があります。
特に懸念される点の1つは、このキャンペーンが 1PasswordやBitwardenなどのパスワードマネージャーを標的にする攻撃者は、これらのツールに関連するデータにアクセスしたり傍受したりすることで、侵害した単一のマシンから、個人のログイン情報から高い権限を持つ組織のアカウントまで、幅広い機密情報を抽出する可能性を高めます。
マイクロソフトはまた、マルウェアには 地域と言語を考慮した動作このコードはロシア語で構成されたシステムを回避しようとするもので、イスラエルまたはイランにあるとみられる特定のマシン上のファイルをランダムに削除するロジックが含まれている。こうした標的回避と破壊能力の組み合わせから、アナリストたちはこの作戦を単なる一般的な認証情報窃盗キャンペーン以上のものとして捉えている。
Shai-HuludおよびTeamPCPのサプライチェーン運営全般へのリンク
Mistral AI PyPI パッケージの侵害は、単発的な事件ではない。複数の報告が、この活動を より大規模なサプライチェーンキャンペーンとして知られる 「シャイ・フルード」これは少なくとも9月から活動しており、信頼できるパッケージを改ざんすることで開発者エコシステムに感染させることに重点を置いている。
シャイ・フルードの傘下で、攻撃者は 盗難または悪用されたメンテナー認証情報、GitHub Actionsにおける設定ミスおよび欠陥 正規の公開パイプラインに侵入する。侵入後、ソースファイルに悪意のあるコードを注入し、署名済みの完全な正規リリースをパッケージレジストリにプッシュすることで、悪意のあるバージョンを正規のアップデートとほとんど区別がつかないようにする。
キャンペーンの一波は、時には 「ミニ・シャイ・フルード」攻撃2026年5月11日に行われた単一の組織的なサプライチェーン攻撃により、170以上のnpmパッケージと少なくとも2つのPyPIパッケージが侵害されたと報じられている。研究者らは、これらのプロジェクト全体で400を超える悪意のあるバージョンが公開されていることを確認しており、その多くは広く使用されているAIおよびオープンソースツールに関連している。
脅威アクターグループとして知られる TeamPCPはこの作戦の背後にいる勢力として繰り返し言及されている。セキュリティコミュニティのアカウントであるVX-Undergroundは、いわゆる「Shai-Hulud Gitワーム」の完全武装版がオープンソースコードとして公開されたことをX上で指摘した。これが事実であれば、他の攻撃者が同じ手法を他のソフトウェアエコシステムに対して再利用または応用することが容易になるだろう。
この種のキャンペーンが特に危険なのは、 関連パッケージ間で自己伝播する動作攻撃者がメンテナーやプロジェクトの認証情報を入手すると、自動化されたスクリプトによってそのIDにリンクされた他のリポジトリを列挙し、複数のコードベースに同様のペイロードを注入して、一見正当なアップデートを再公開することで、単一の侵害がはるかに広範囲にわたる悪意のある依存関係のネットワークへと発展する可能性があります。
ミストラルAIの対応とタンスタック関連のサプライチェーンの視点
Mistral AIはウェブサイトに掲載した声明で、 PyPI での公式 SDK リリースがサプライチェーン攻撃の影響を受けた これはTanStack社が関与するより広範なセキュリティインシデントに関連している。同社によると、この攻撃キャンペーンに関連した自動化されたワームが、npmとPyPIの両方のパッケージの改ざん版の公開を引き起こしたという。
ミストラル氏は、現在の調査結果が 開発者デバイスが侵害されている直接的な企業基盤への侵害ではなく、あくまでも間接的な侵害である。調査の現段階では、ミストラル社は、内部システムやホストされているモデル基盤が攻撃者によって乗っ取られたり、改ざんされたりした証拠はないとしている。
これは、シャイ・フルード関連の活動で観察された全体的なパターンと一致しており、 攻撃者は開発者のエンドポイントとCI/CDパイプラインを標的にする データセンターや本番サーバーではなく、個人のマシンの脆弱性や設定ミスのある自動化ワークフローを悪用することで、信頼できるバイナリやパッケージがビルドされ署名されるまさにその場所にマルウェアを注入することができるのです。
これによりミストラルの中核インフラは守られるかもしれないが、依然として多くの開発者や組織が危険にさらされている。侵害されたSDKバージョンをプロジェクトに取り込んだチームは、潜在的に 意図せず開発環境または本番環境に悪意のあるコードを組み込んでしまったパッケージがどのように、どこにデプロイされたかによって異なります。
同社は現在、SDKとビルドプロセスに対する信頼を回復するという課題に直面している。 AI業界は厳しい監視下に置かれている プライバシー、信頼性、セキュリティに関して。ミストラル社と、この状況を注視している他のAIベンダーにとって、新バージョンが同様の攻撃に対して強化されていることを示すことは、おそらく最優先事項となるだろう。
どのようなデータが危険にさらされているのか、そして開発者はどのように対応すべきか?
セキュリティ研究者は、このマルウェアファミリーの究極の目標は できるだけ多くの貴重な資格情報を収集する データが到達するシステムから取得されます。AIツールを扱うチームの場合、これにはGitHubアクセストークン、npm認証情報、クラウドAPIキー、Kubernetesサービスアカウント、SSHキー、CI/CDパイプラインで使用されるシークレットなどが含まれます。
マルウェアは開発環境や自動化フックに統合しようとするため、 爆発範囲は単一のワークステーションをはるかに超えて広がる可能性がある盗まれた認証情報によって組織のGitリポジトリ、パッケージレジストリ、またはクラウドデプロイメントへのアクセスが許可された場合、攻撃者は横方向に移動して、他のプロジェクトやインフラストラクチャを改ざんする可能性があります。
セキュリティ専門家やベンダーは、侵害されたパッケージバージョンをインストールした可能性のある組織に対し、いくつかの即時措置を講じるよう促している。まず、開発者は 関連するすべての認証情報とトークンをローテーションします。これには、GitHub、npm、クラウドキー、およびビルドサーバーやデプロイメントパイプラインで使用されるシークレットが含まれます。
次に、チームは依存関係ツリーを監査し、「ロック ファイル」とパッケージ マニフェストをチェックすることが推奨されます。 悪意のあるバージョンとしてフラグが立てられている信頼できる検証済みのリリースに依存関係を固定し、無作為なアップグレードを避けることで、将来同様のサプライチェーン攻撃が発生した場合のリスクを軽減できます。
最後に、組織は体系的に 感染の兆候がないか、システムをスキャンする。疑わしいファイルが存在する場合など transformers.pyz攻撃者が制御するIPアドレスへの異常なネットワーク接続、IDEの設定、フック、スケジュールされたタスクへの予期せぬ変更などが挙げられます。リスクの高いケースでは、影響を受けたLinuxホストを隔離し、クリーンなイメージから再構築することが最も安全な対処法となるでしょう。
AIとオープンソースのサプライチェーンセキュリティに対する警鐘
Mistral AIのPyPI事件は、より広範な傾向を浮き彫りにしている。 AIフレームワークと開発者エコシステムは主要な標的となっている。 金銭目的の攻撃者や、国家とつながりのある可能性のある攻撃者にとって、これは大きな脅威となる。攻撃者はエンドユーザー向けアプリケーションを直接悪用するのではなく、現代の開発ワークフローを支えるソフトウェアサプライチェーンを標的にするケースが増えている。
PyPIやnpmのようなパッケージレジストリを侵害することで、攻撃者は 一度の侵害で数千、あるいは数百万ものシステムに影響を与える可能性がある近年の歴史を見ると、npmはJavaScript、ブロックチェーン、暗号通貨関連プロジェクトにおいて中心的な役割を担っているため、特に魅力的であることがわかります。これらのプロジェクトでは、乗っ取られたパッケージが暗号通貨取引のリダイレクトや、トレーディングボットやスマートコントラクトツールへのマルウェアの仕込みに悪用されてきました。
このような状況において、Shai-HuludとTeamPCPに関連するキャンペーンは、孤立した衝撃というよりは、パターンの継続と言える。JavaScriptエコシステムに対抗するのと同じ手法が、PythonベースのAIスタックを標的とするように適応・改良され、 トランパ・デ・ディペンデンシア・デ・ロスLLMそこでは、高価値のモデルコード、独自のデータセット、機密性の高い企業インフラへのアクセスといった潜在的な報酬が得られる可能性がある。
AIコミュニティにとって、この教訓は不快なほど明白だ。 機械学習のコードは依然として単なるソフトウェアに過ぎないそして、従来の開発手法にありがちな弱点をすべて引き継いでいます。モデルアーキテクチャがどれほど高度であっても、安全性の低いパイプライン、保守担当者の不備、検証されていない依存関係は、攻撃者にとって格好の攻撃機会となります。
組織が大規模言語モデルを採用し、AI を日常業務に統合し続けるにつれて、このようなインシデントにより、セキュリティがアーキテクチャ上の意思決定の最優先事項となっています。保守担当者のアカウントに対するより厳格な制御の実施から、再現可能なビルドと署名付きリリースの展開まで、 セキュリティ対策は、精度指標やパフォーマンスベンチマークと同様に、AIプロジェクトにおいて中心的な要素になりつつある。.
遠くから見ると、Mistral AIのPyPIパッケージで発見されたマルウェアは、ソフトウェアエコシステムへの信頼がいかに脆弱であるかを痛烈に思い起こさせる事例と言えるでしょう。特に、攻撃者が開発者が日々頼りにしている目に見えない基盤部分を標的にする場合、その脆弱性は顕著になります。より優れたツール、より厳格な運用規律、そしてAIベンダー、保守担当者、セキュリティチーム間の緊密な連携を通じて、こうした基盤を強化することが、次世代のインテリジェントアプリケーションを支えるはずのフレームワーク自体に、将来のサプライチェーン攻撃が静かに蔓延するのを防ぐ上で極めて重要となるでしょう。
