Microsoft расследует взлом пакета Mistral AI: вредоносный код крал данные у разработчиков
По какой-то причине код старался избегать русскоязычных систем.
Microsoft Threat Intelligence расследует компрометацию пакета mistralai в репозитории PyPI. По данным команды, злоумышленники внедрили в версию mistralai 2.4.6 вредоносный код.
Этот код автоматически запускался при импорте пакета на Linux-системах, загружал дополнительный файл и запускал его в фоновом режиме. Интересно, что файл назывался transformers.pyz — вероятно, название было выбрано для маскировки под экосистему Hugging Face Transformers.
По оценке Microsoft, второй компонент вредоносной программы был ориентирован на кражу учетных данных. В нем также обнаружили логику, зависящую от страны пользователя и с некоторым шансом удаляющее содержимое жесткого диска у жителей Ирана и Израиля.
Интересный момент: в коде присутствовали проверки, с помощью которых разработчики ПО пытались удостовериться, что их приложение работает не на русскоязычной системе.
Microsoft рекомендует проверить системы на наличие файлов /tmp/transformers.pyz, pgmonitor.py и pgsql-monitor.service, а также сменить учетные данные. Расследование продолжается, список затронутых пакетов может расшириться.
Инцидент произошел на фоне широкой волны атак на цепочки поставок в экосистемах PyPI и npm. Ранее компания Aikido сообщила о компрометации широко используемых пакетов, связанных с JavaScript-экосистемой TanStack.
- Microsoft рассказала про ускорение фреймворка WinUI 3, на котором делают интерфейсы Windows 11
- Первый запуск Starship V3 состоится 20 мая — вот что будут испытывать
- Sony: впереди несколько лет отличных игр
- Прогноз магнитных бурь на 13 мая: потоки плазмы подходят к Земле
- Фото: камень, пленивший марсоход
- NASA отказалось от более длительных экспедиций на МКС

