微软威胁情报于周一报告称，攻击者在通过PyPI分发的Mistral AI软件包中插入了恶意代码。该恶意软件伪装成'transformers.pyz'以模仿Hugging Face的Transformers库，在Linux系统上自动执行，下载并运行第二阶段的负载，功能为凭证窃取器。它瞄准开发者登录信息和访问令牌，并表现出地理限制行为：避免俄语系统，同时可能删除位于以色列或伊朗系统的文件。此次攻击与自9月开始的'Shai-Hulud'恶意软件活动相关。Mistral确认受到与TanStack事件相关的供应链攻击影响，指出自动化蠕虫导致NPM和PyPI包版本被篡改，但表示其基础设施未被入侵。专家警告称，NPM和PyPI等包仓库风险日益增加，因区块链应用、钱包和交易平台依赖这些服务，正成为加密货币相关攻击的目标。建议组织隔离受影响的Linux系统、阻止相关IP地址并轮换可能暴露的凭证。

关键事实

• 恶意代码插入PyPI上的Mistral AI包，模仿Hugging Face Transformers库。
• 恶意软件窃取凭证，针对Linux系统并避免俄语系统。
• 攻击与自9月发起的Shai-Hulud供应链活动有关。
• Mistral确认受影响但否认基础设施被入侵，称开发设备被感染。
• NPM和PyPI在加密货币相关供应链攻击中日益成为目标。