Атаки по двойному вектору на цепочку поставок AI: Mistral и фальшивые модели OpenAI также подверглись проникновению

Экосистема инструментов для разработки ИИ 12 мая в один день сообщила о двух крупных атаках на цепочку поставок: (1) Microsoft Threat Intelligence раскрыла, что в PyPI-пакет Mistral AI внедрили вредоносный код; (2) проект с фальшивым Hugging Face-моделем под OpenAI поднялся на 1-е место в топе, за 18 часов привлёк 244 тыс. загрузок и украл большое число учётных данных. По данным Decrypt, оба инцидента продемонстрировали уязвимость экосистемы разработчиков ИИ к проникновению через цепочку поставок.

Оглавление

Переключить

Кейс пакета Mistral AI: многоступенчатая атака с маскировкой под название Hugging Face Transformers

Фальшивый OpenAI-кейс на Hugging Face: 6-этапный infostealer на Rust

Значение для индустрии: AI-цепочка поставок становится новой поверхностью атаки

Кейс пакета Mistral AI: многоступенчатая атака с маскировкой под название Hugging Face Transformers

PyPI-пакет Mistral AI (менеджер Python-пакетов) подвергся внедрению вредоносного кода; 12 мая Microsoft Threat Intelligence раскрыла это в X:

Пострадавший круг: PyPI-пакет mistralai v2.4.6

Способ срабатывания: при импорте пакета в Linux-системах автоматически запускается

Вторая стадия полезной нагрузки: загрузка transformers.pyz с удалённого сервера и запуск в фоне

Ловушка в названии: transformers.pyz намеренно имитирует популярное имя библиотеки Transformers из Hugging Face

Реальная функция: кража логин-учётных данных разработчиков, access token; в некоторых системах срабатывает случайное удаление файлов в диапазоне IP-адресов Израиля или Ирана

Mistral 13 мая подтвердил эту атаку на цепочку поставок, но подчеркнул, что «инфраструктура Mistral не была взломана, атака началась с заражённого устройства одного из разработчиков». Атака относится к широко понимаемой вредоносной серии Shai-Hulud (активна с сентября 2025 года, нацелена на цепочки поставок open source-пакетов npm и PyPI).

Фальшивый OpenAI-кейс на Hugging Face: 6-этапный infostealer на Rust

Параллельно на платформе моделей ИИ Hugging Face появился фальшивый проект модели под названием «Open-OSS/privacy-filter», который намеренно имитирует модель Privacy Filter, опубликованную OpenAI в апреле:

Накопленные загрузки: 244 тыс. за 18 часов

Накопленные лайки: 667 (из них 657, как подозревают, были накручены бот-аккаунтами)

Позиция в трендах: поднимался на 1-е место в трендовом листинге Hugging Face

Команда-триггер: пользователям предлагалось выполнить _start.bat (Windows) или loader.py (Linux／Mac)

Фактические действия: 6-этапный infostealer на Rust, кража следующих данных:

—Пароли и Cookie в браузерах Chrome／Firefox

—Discord token

—сид-фразы кошельков криптовалют

—учётные данные SSH и FTP

—скриншоты со всех экранов

Этот модельный проект разоблачила компания по кибербезопасности HiddenLayer; Hugging Face удалил его. Одновременно HiddenLayer также выявила 7 похожих вредоносных модельных проектов, часть из которых имитировала другие популярные модели ИИ, включая Qwen3 и DeepSeek.

Значение для индустрии: AI-цепочка поставок становится новой поверхностью атаки

Цепочка новостей: 3 случая AI-связанных атак на цепочку поставок, раскрытые на этой неделе одновременно,—Mistral PyPI, фальшивый OpenAI-HuggingFace и кейс с нулевым днём от Google, раскрытый 5/11,—показывают, что экосистема разработчиков ИИ стала приоритетной поверхностью атаки для хакеров.

Общие черты трёх случаев:

Злоумышленники маскируются под законных поставщиков AI-инструментов (PyPI-пакет, HuggingFace-модель, эксплуатационная утилита уязвимости нулевого дня для AI)

Цель — группа «Web3 и разработчики ИИ», у которой есть высокоприоритетные токены, криптокошельки и облачные учётные записи

Путь к отмыванию/кражам быстрый — в кейсе Hugging Face 244 тыс. загрузок за 18 часов, что указывает на быстрое расширение масштаба воздействия

Недостаточные механизмы проверки у крупных платформ (PyPI, HuggingFace), не позволяющие оперативно распознавать поддельные проекты

Для разработчиков криптовалют и Web3 эти инциденты усиливают угрозу, упомянутую в отчёте CertiK, опубликованном в ту же неделю, «Северокорейские хакеры похитили 2,06 млрд долларов»: «социальная инженерия + 6 месяцев скрытности» — у атакующих в 2026 году уже нет необходимости напрямую взламывать биржи; достаточно загрязнить open source-пакеты, которыми пользуются разработчики, чтобы косвенно получить соответствующие ключи и средства.

Практические меры защиты для индивидуальных разработчиков: проверять подписи и издателя перед установкой пакетов, запускать только что скачанные AI-модели в отдельной виртуальной машине, регулярно менять ключи API бирж, не хранить сид-фразы криптокошельков на устройствах, подключённых к сети. Для команд на уровне процесса нужно выстроить «SBOM (Software Bill of Materials)» и процедуры подписи цепочки поставок.

Дальнейшими для отслеживания остаются инциденты, включая результаты расследования компрометации внутренних устройств Mistral, выяснение, внедрит ли Hugging Face более строгий механизм проверки в трендовом листинге, и последующие материалы по другим вредоносным модельным проектам, разоблачённым HiddenLayer (включая фальшивые версии Qwen3 и DeepSeek).

Эта статья: две атаки на цепочку поставок AI-пакетов — Mistral и поддельная OpenAI-модель тоже оказались скомпрометированы. Впервые опубликовано в Цепочка новостей ABMedia.