Mistral AI y TanStack fueron atacados en su cadena de suministro con malware atestiguado por SLSA

Los atacantes comprometieron el paquete oficial de Python de Mistral AI en PyPI, junto con cientos de otros paquetes para desarrolladores ampliamente utilizados, exponiendo tokens de GitHub,denten la nube y bóvedas de contraseñas en todo el ecosistema de desarrolladores de IA y criptomonedas. El equipo de inteligencia de amenazas de Microsoft anunció el 11 de mayo que estaba investigando la versión 2.4.6 del paquete PyPI mistralai tras descubrir código malicioso inyectado en mistralai/client/__init__.py que se ejecutaba al importarlo, descargando una carga útil secundaria desde 83.142.209.194 a /tmp/transformers.pyz y ejecutándola en sistemas Linux. Microsoft está investigando la vulnerabilidad del paquete PyPI...