Атака двома хвилями на ланцюг постачання AI-пакетів: Mistral і фейкові моделі OpenAI були одночасно скомпрометовані

Екосистема інструментів для розробки ШІ 12 травня в той самий день повідомила про дві великі атаки на ланцюг постачання: (1) Microsoft Threat Intelligence розкрила, що PyPI-пакет Mistral AI був заражений шкідливим кодом; (2) фейковий проєкт Hugging Face моделі під OpenAI вийшов у трендах на 1-ше місце та за 18 годин зібрав 244 тис. завантажень і викрав великі обсяги облікових даних. За повідомленням Decrypt, обидві події оголили вразливість екосистеми для розробки ШІ до проникнення через ланцюги постачання.

Зміст

Перемикач

Кейс пакета Mistral AI: двоетапна атака з маскуванням під назву Hugging Face Transformers

Фейковий кейс OpenAI Hugging Face: інфостилер, написаний у 6 етапів на Rust

Значення для індустрії: AI-ланцюг постачання стає новою поверхнею атаки

Кейс пакета Mistral AI: двоетапна атака з маскуванням під назву Hugging Face Transformers

PyPI-пакет Mistral AI (менеджер Python-пакетів) потрапив із вбудованим шкідливим кодом, про що 12 травня в X повідомила Microsoft Threat Intelligence:

Постраждалий обсяг: PyPI-пакет mistralai версії v2.4.6

Як спрацьовує: автоматичне виконання під час імпорту пакета в системах Linux

Другий етап payload: завантаження з віддаленого сервера transformers.pyz та запуск у фоні

Гачок у назві: transformers.pyz навмисно імітує назву популярної бібліотеки Transformers від Hugging Face

Фактична функція: викрадення облікових даних для входу розробників, access token; у частині систем спрацьовує випадкове видалення файлів у діапазоні IP з Ізраїлю або Ірану

Mistral 13 травня підтвердив цю атаку на ланцюг постачання, але наголосив, що «інфраструктуру Mistral не було зламано, а атака бере початок із одного постраждалого пристрою розробника». Атака належить до загальнішої серії шкідливого ПЗ Shai-Hulud (активна з вересня 2025 року, націлена на ланцюги постачання відкритих пакетів npm і PyPI).

Фейковий кейс OpenAI Hugging Face: інфостилер, написаний у 6 етапів на Rust

Паралельно, платформа для моделей ШІ Hugging Face має фейковий проєкт моделі під назвою «Open-OSS/privacy-filter», який навмисно копіює модель Privacy Filter від OpenAI, оприлюднену в квітні:

Накопичені завантаження: за 18 годин 244 тис.

Накопичені лайки: 667 (з них 657 — підозрілі ботові акаунти, що накрутили)

Популярний рейтинг: колись піднявся на 1-ше місце в трендах Hugging Face

Команда запуску: користувачам пропонують виконати _start.bat (Windows) або loader.py (Linux/Mac)

Фактична поведінка: інфостилер, написаний у 6 етапів на Rust, який викрадає такі дані:

— паролі та Cookie для браузерів Chrome/Firefox

— Discord token

— seed-фрази гаманців криптовалют

— облікові дані SSH та FTP

— скріншоти з усіх екранів

Цей проєкт викрила компанія з безпеки AI HiddenLayer, а Hugging Face — прибрав його з платформи. Паралельно HiddenLayer також ідентифікувала 7 подібних шкідливих проєктів моделей, частина з яких імітує інші популярні моделі ШІ, зокрема Qwen3 і DeepSeek.

Значення для індустрії: AI-ланцюг постачання стає новою поверхнею атаки

Ланцюжок новин: цього тижня одночасно викрили 3 події, пов’язані з AI та ланцюгами постачання — Mistral PyPI, фейковий OpenAI HuggingFace та кейс із AI-«джизайн» (zero-day) у виробництві, розкритий Google 5/11 — і це показує, що екосистема для розробників ШІ стала пріоритетною поверхнею атаки для хакерів.

Спільні патерни в усіх трьох кейсах:

Атакувальники маскуються під легальних постачальників інструментів для ШІ (PyPI-пакет, HuggingFace-модель, експлойт для AI-«виробничого» zero-day)

Ціль — група «Web3 і розробники ШІ», які мають привілейовані token, криптогаманці, хмарні акаунти

Швидкий шлях від відмивання коштів / крадіжки — кейс Hugging Face: 244 тис. завантажень за 18 годин, що вказує на швидке розширення масштабу впливу

Великі платформи (PyPI, HuggingFace) мають недостатні механізми перевірки, щоб оперативно розпізнати фейкові проєкти

Для криптовалют і розробників Web3 ці події посилюють ризик, згаданий у звіті CertiK, який того ж тижня оприлюднив «2025 Північнокорейські хакери вкрали 20,6 млрд доларів» — загроза «соціальна інженерія + 6 місяців приховування»: у 2026 році атакувальникам не потрібно напряму зламувати біржі — достатньо забруднити відкриті пакети, якими користуються розробники, щоб опосередковано отримати відповідні ключі та кошти.

Практичні дії захисту для індивідуальних розробників: перевіряти підписи та видавця перед встановленням пакета; запускати щойно завантажені моделі ШІ у незалежній віртуальній машині; регулярно ротаціонувати API-ключі бірж; не зберігати seed-фрази криптогаманців на пристроях, підключених до інтернету. Для командного рівня потрібні процеси побудови «SBOM (перелік програмних матеріалів)» та підписання компонентів ланцюга постачання.

Подальші події, за якими можна стежити, включають: результати розслідування проникнення в інтернет-пристрої Mistral; чи впровадить Hugging Face суворіший механізм перевірки трендів; та подальші матеріали щодо інших шкідливих проєктів, викритих HiddenLayer (включно з фейковими версіями Qwen3 і DeepSeek).

Ця стаття: Дві атаки на ланцюг постачання AI-пакетів — Mistral і фейкова модель OpenAI зійшлися в проникненні. Вперше з’явилася на сайті Ланцюжок новин ABMedia.