微軟：Mistral AI 軟體下載包遭植入惡意程式碼，竊取開發者憑證

攻擊細節與惡意程式運作方式

根據微軟威脅情報團隊的報告，攻擊者將惡意程式碼植入由 Mistral AI 透過 PyPI 分發的軟體包中。當開發者在 Linux 系統上使用該軟體時，惡意程式碼會自動執行，從遠端伺服器下載名為 transformers.pyz 的惡意檔案，該檔案名稱刻意模仿廣泛使用的 Hugging Face Transformers 庫。

竊取目標與地理性差異

此惡意程式主要作為憑證竊取工具，收集開發者的登入資訊與存取令牌。微軟指出，該攻擊具有地理性差異：

• 主要針對非俄語系統。
• 會避開俄語系統。
• 對位於以色列或伊朗的部分系統，可能會隨機刪除檔案。

此外，Mistral AI 表示無證據表明其基礎設施被入侵，但建議受影響的開發者隔離系統並更換憑證。

與 Shai-Hulud 攻擊活動的關聯

此次攻擊與自 9 月開始的「Shai-Hulud」惡意軟體供應鏈攻擊相關。該活動針對軟體供應鏈進行攻擊，此前還涉及假冒 OpenAI 的 Hugging Face 模型專案衝上熱門榜並竊取大量帳密的事件。