Атака на репозиторий PyPI: Microsoft расследует компрометацию пакета Mistralai

Хакеры подмешали вредоносный код в популярные «строительные блоки», из которых разработчики собирают программы — это касается экосистем как Python, так и JavaScript.

За 48 часов 11-12 мая 2026 года заражены 172 таких блока в 403 версиях, среди них — официальные библиотеки для работы с ИИ-сервисом Mistral.

Главные жертвы — сами разработчики: вирус крадёт у них пароли, ключи доступа и затем продолжает заражать новые проекты от их имени.

На компьютерах, где система определена как находящаяся в Израиле или Иране, вирус с вероятностью 1 к 6 пытается удалить с диска всё.

Microsoft рекомендует владельцам затронутых систем срочно изолировать заражённые компьютеры и сменить все рабочие пароли и ключи.

Чтобы понять масштаб произошедшего, представьте кулинарный мир. Большинство шеф-поваров не делают каждый соус с нуля — они покупают готовые ингредиенты в специализированных магазинах. То же самое делают разработчики программ: они скачивают готовые «строительные блоки» (на профессиональном языке — пакеты) из больших онлайн-каталогов и собирают из них свои приложения. Два самых популярных таких каталога — PyPI (для языка Python) и npm (для JavaScript).

А теперь представьте, что хакеры подмешали яд в популярный ингредиент на складе поставщика. Через несколько часов этот ингредиент окажется в кухнях тысяч ресторанов по всему миру. Именно это и произошло — только вместо яда хакеры внедрили программу-шпиона, а вместо ресторанов пострадали серверы и рабочие компьютеры разработчиков по всему миру.

(Image credit: Getty Images)

Что случилось с пакетом Mistral

12 мая 2026 года команда безопасности Microsoft публично сообщила, что в одной из версий mistralai — официальной библиотеки для работы с французским ИИ-сервисом Mistral — обнаружен встроенный вирус. Любой разработчик, скачавший эту версию и подключивший её в свой проект на компьютере под управлением Linux (это операционная система, на которой работает большинство серверов и облачных машин), автоматически запускал у себя вредоносный код. Без всяких подтверждений, без всплывающих окон — просто фактом установки.

Что делал код: тихо скачивал с заранее заданного интернет-адреса второй файл (с замаскированным именем transformers.pyz — оно похоже на название известной библиотеки для работы с нейросетями, чтобы не вызывать подозрений) и запускал его в фоновом режиме. Все ошибки скрывались, чтобы пользователь ничего не заметил.

Microsoft расследует компрометацию пакета mistralai PyPI версии 2.4.6. Атакующие внедрили код в mistralai/client/__init__.py, который выполняется при импорте, загружает hxxps://83[.]142[.]209[.]194/transformers.pyz в /tmp/transformers.pyz и запускает дополнительную вредоносную нагрузку на Linux… 12 мая 2026 г.

Это была не одна атака, а целая волна

Случай с Mistral оказался лишь одним эпизодом большой скоординированной кампании. Исследователи безопасности из компаний Aikido, Socket, Snyk, Wiz и других дали ей название Mini Shai-Hulud (отсылка к гигантским песчаным червям из вселенной «Дюны» — атакующие сами используют термины из этой саги в своём коде). За операцией стоит группировка, которую исследователи называют TeamPCP. Эта же команда уже была замечена в подобных атаках в марте (на популярный сканер безопасности Trivy) и в апреле 2026 года (на программу Bitwarden — менеджер паролей).

Масштаб нынешней волны впечатляет. За 11-12 мая 2026 года были заражены:

• 172 уникальных пакета в 403 версиях сразу в двух главных каталогах — PyPI и npm.
• Среди жертв — TanStack: набор инструментов для создания современных веб-сайтов. Один из их продуктов скачивают около 12 миллионов раз в неделю.
• Также пострадали ИИ-инструменты: Mistral AI, Guardrails AI (фильтры для нейросетей), OpenSearch (поисковая система).
• И инструменты для бизнес-автоматизации UiPath — это уже корпоративный сегмент с тысячами клиентов.
• По оценке экспертов OX Security, суммарное количество скачиваний всех заражённых пакетов превышает 518 миллионов.

Почему именно разработчики — лакомая цель

Возникает резонный вопрос: зачем хакерам атаковать разработчиков, а не сразу обычных пользователей? Ответ прост — через разработчиков можно дотянуться до всех остальных. Современный программист на своём компьютере хранит, по сути, ключи от целого королевства:

• Пароли и токены доступа к GitHub — глобальному хранилищу программного кода.
• Ключи к облачным сервисам Amazon, Google, Microsoft — где работают сайты, базы данных, целые корпоративные системы.
• Доступ к так называемым конвейерам сборки — автоматическим системам, которые превращают код в готовые программы и публикуют их.
• Личные пароли в менеджерах вроде 1Password и Bitwarden (новая «фишка» этой волны вируса — она впервые целенаправленно охотится за такими хранилищами).

Заразив компьютер одного разработчика, вирус получает все эти ключи и может действовать от его имени — выпускать обновления его программ, публиковать заражённые версии, заходить в корпоративные системы. Дальше — экспоненциальное распространение. Поэтому такие атаки и называют атаками на цепочку поставок: они бьют не по конечному магазину, а по поставщику, чьи товары попадают во множество магазинов одновременно.

Что вирус делает, если его попытаться отозвать

У этого вируса есть несколько особенно неприятных черт. Во-первых, после кражи всех ключей он не уходит — он остаётся в системе как сторожевая собака. Каждую минуту специальная программа-демон проверяет, не отозвали ли украденные токены доступа. Если выясняется, что владелец заметил неладное и аннулировал ключи, — вирус срабатывает на «обиду» и пытается стереть домашнюю папку пользователя целиком. То есть все личные файлы, документы, проекты — всё.

Поэтому исследователи дают неочевидный совет: не спешите отзывать ключи, пока заражённый компьютер не отключён от сети и не сделана полная копия диска. Иначе само ваше действие по защите запустит механизм уничтожения данных.

Во-вторых, у вируса есть встроенный географический фильтр. Если компьютер настроен на русский язык — вирус ничего не делает (типичная особенность червей этого семейства). А вот если система определяется как находящаяся в Израиле или Иране, есть вероятность примерно 1 к 6, что вирус попытается стереть с диска вообще всё. Это уже не кража данных, а намеренное уничтожение — атрибут не обычной киберпреступности, а скорее политически мотивированной диверсии.

Как удалось обмануть систему проверки подлинности

Самое неприятное для всей индустрии — то, как именно произошёл взлом одного из ключевых пострадавших, проекта TanStack. По итогам расследования выяснилось, что хакеры не крали ничьих паролей напрямую. Вместо этого они нашли цепочку из трёх уязвимостей и заставили сам легитимный конвейер сборки опубликовать заражённые версии пакетов.

Аналогия: представьте автомобильный завод с автоматизированной линией. Хакеры не подделали номерные знаки в подпольном цехе. Они зашли через лазейку прямо в заводскую систему, заставили настоящий заводской робот установить в машины свои детали и наклеить настоящие сертификаты подлинности. На выходе — машины с реальными заводскими печатями, проходящие все проверки качества. Но с миной внутри.

Для индустрии это означает важную вещь: модные сегодня системы цифровых сертификатов происхождения программ (так называемый SLSA-провенанс) подтверждают где программа была собрана, но не подтверждают, что внутри неё нет вреда. Сертификат может быть на сто процентов настоящим, а программа — заражена. Это первый задокументированный случай, когда вредоносный пакет получил действительный сертификат высшего уровня доверия.

Кому стоит беспокоиться и что делать

Если вы обычный пользователь и не занимаетесь программированием — напрямую вам ничего делать не нужно. Атака целится в разработчиков, а не в потребителей. Но через несколько недель её последствия могут дойти и до вас в виде взломанных сайтов, утечек данных или сбоев в работе сервисов, чьи разработчики попались на эту удочку.

Если вы программист или системный администратор и работали с упомянутыми пакетами в последние дни — короткий план действий выглядит так:

• Не паникуйте, но и не тяните. Сначала изолируйте подозрительные компьютеры от сети — отключите интернет.
• Сделайте копию диска заражённой машины, прежде чем что-то с ней делать.
• Только потом отзывайте пароли, токены и ключи — в указанном порядке, чтобы не активировать механизм уничтожения данных.
• Проверьте журнал публикаций своих собственных пакетов: не появились ли там версии, которые вы не выпускали.
• Зафиксируйте версии используемых пакетов в lockfile, чтобы случайно не подтянуть заражённые свежие релизы.

Регуляторы и поставщики каталогов уже отреагировали. TanStack пометила все заражённые версии как устаревшие и почистила свою сборочную инфраструктуру. PyPI отправил заражённый mistralai в карантин. Компания Mend выпустила три бюллетеня безопасности, покрывающих все 172 пострадавших пакета.

Итоги

Эта история — далеко не первая такого рода. В предыдущие годы мы уже видели похожие удары: взлом SolarWinds в 2020 году (через который хакеры дотянулись до американских министерств), компрометацию пакета event-stream, атаку на 3CX, попытку внедрить бэкдор в XZ Utils (системную утилиту Linux). Mini Shai-Hulud по масштабу не уступает им, а по технической изощрённости — превосходит большинство.

Главный урок — простой и неприятный одновременно. Цифровая инфраструктура современного мира построена на доверии: тысячи разработчиков по всему миру используют чужой код, доверяя его подписям и сертификатам. Когда атакующие учатся подделывать само это доверие, защищаться становится принципиально сложнее. И, судя по тому, как уверенно действует TeamPCP — переходя от одного крупного проекта к другому каждый месяц, — это далеко не последняя такая история.