A ecossistema de ferramentas de desenvolvimento de IA teve, no mesmo dia 12 de maio, notícia de dois grandes ataques à cadeia de fornecimento: (1) a Microsoft Threat Intelligence revelou que um pacote PyPI da Mistral AI foi adulterado com código malicioso; (2) um projeto de modelo na Hugging Face que se faz passar por OpenAI subiu ao 1.º lugar do ranking de tendências e, em 18 horas, atraiu 244 mil transferências, roubando ainda várias credenciais de contas. De acordo com a reportagem da Decrypt, ambos os incidentes expõem a fragilidade da cadeia de fornecimento do ecossistema de desenvolvimento de IA à infiltração.
Table of Contents
Toggle
Caso do pacote da Mistral AI: ataque em duas fases disfarçado de nome de Hugging Face Transformers
Caso da falsa OpenAI na Hugging Face: infostealer escrito em Rust em 6 fases
Implicações para a indústria: a cadeia de fornecimento de IA torna-se uma nova superfície de ataque
Caso do pacote da Mistral AI: ataque em duas fases disfarçado de nome de Hugging Face Transformers
O pacote PyPI da Mistral AI (gestor de pacotes Python) foi adulterado com código malicioso, tendo sido revelado em 12 de maio pela Microsoft Threat Intelligence no X:
Âmbito afetado: pacote mistralai PyPI v2.4.6
Forma de ativação: execução automática quando o pacote é importado num sistema Linux
Payload da segunda fase: descarrega transformers.pyz a partir de um servidor remoto e executa em segundo plano
Armadilha no nome: transformers.pyz foi deliberadamente concebido para imitar o nome da popular biblioteca Transformers da Hugging Face
Função real: roubo das credenciais de login dos programadores, access token; em alguns sistemas, o gatilho pode provocar a remoção aleatória de ficheiros localizados dentro de gamas de IP de Israel ou do Irão
A Mistral, a 13 de maio, confirmou este ataque à cadeia de fornecimento, mas sublinhou que «a infraestrutura da Mistral não foi comprometida; o ataque terá origem num dispositivo de um programador afetado». O ataque é atribuído a uma família alargada de malware Shai-Hulud (em atividade desde setembro de 2025, com foco na cadeia de fornecimento de pacotes open source para npm e PyPI).
Caso da falsa OpenAI na Hugging Face: infostealer escrito em Rust em 6 fases
Em simultâneo, a plataforma de modelos de IA Hugging Face registou um projeto de modelo falso chamado «Open-OSS/privacy-filter», que imita deliberadamente o modelo Privacy Filter divulgado pela OpenAI em abril:
Transferências acumuladas: 244 mil em 18 horas
Gostos acumulados: 667 (dos quais 657 parecem ser contas de robôs a fazer “spam”)
Ranking em alta: chegou ao 1.º lugar na tabela de tendências da Hugging Face
Comando de ativação: instrução para o utilizador executar _start.bat (Windows) ou loader.py (Linux/Mac)
Ação real: infostealer em 6 fases escrito em Rust, com roubo de dados:
— Senhas e cookies de navegadores Chrome/Firefox
— Discord token
— Frases mnemónicas de carteiras de criptomoeda
— Credenciais de SSH e FTP
— Capturas de ecrã de todos os ecrãs
O projeto do modelo foi desmascarado pela empresa de segurança de IA HiddenLayer, e a Hugging Face já o removeu. Na mesma altura, a HiddenLayer identificou ainda 7 outros projetos de modelos maliciosos semelhantes, alguns imitando Qwen3, DeepSeek e outros modelos populares de IA.
Implicações para a indústria: a cadeia de fornecimento de IA torna-se uma nova superfície de ataque
Destaques da semana: os 3 incidentes de cadeia de fornecimento de IA revelados esta semana — Mistral PyPI, falsa OpenAI na HuggingFace e o caso de exploração de zero-day de fabrico de IA divulgado pela Google a 5/11 — mostram que o ecossistema de desenvolvimento de IA se tornou a principal prioridade de ataque dos cibercriminosos.
Padrões comuns aos três casos:
Os atacantes disfarçam-se de fornecedores legítimos de ferramentas de IA (pacotes PyPI, modelos na Hugging Face, utilitários para exploração de zero-day de fabrico de IA)
O alvo é o grupo de «Web3 e programadores de IA», que detém tokens com elevadas permissões, carteiras de criptomoeda e contas na cloud
Caminho de branqueamento/roubo rápido — no caso da Hugging Face, 244 mil transferências em 18 horas, indicando rápida expansão do impacto
Mecanismos de verificação de grandes plataformas (PyPI, HuggingFace) são insuficientes para identificar rapidamente projetos falsos
Para programadores de criptomoeda e Web3, estes incidentes reforçam a ameaça referida no relatório «hackers norte-coreanos de 2025 roubaram 2,06 mil milhões de dólares», divulgado pela CertiK na mesma semana — a ameaça de «engenharia social + 6 meses de latência»; em 2026, os atacantes já não precisam de invadir diretamente bolsas, basta contaminar os pacotes open source utilizados por programadores para obter, de forma indireta, as chaves e fundos correspondentes.
Ações práticas de defesa para programadores individuais: validar assinaturas e o emissor antes de instalar pacotes; usar uma máquina virtual independente para executar os modelos de IA acabados de descarregar; rodar regularmente as chaves de API das bolsas; não guardar as frases mnemónicas das carteiras de criptomoeda em dispositivos ligados à rede. Em nível de equipa, é necessário criar um «SBOM (Software Bill of Materials)» e processos de assinatura da cadeia de fornecimento.
Eventos a acompanhar incluem: resultados da investigação de comprometimento de dispositivos internos da Mistral; se a Hugging Face vai adotar um mecanismo mais rigoroso de verificação para as tabelas de tendências; e informações subsequentes sobre outros projetos maliciosos de 7 detetados pela HiddenLayer (incluindo versões falsificadas de Qwen3 e DeepSeek).
Este artigo: dois ataques à cadeia de fornecimento de pacotes de IA, com Mistral e o modelo falso da OpenAI ambos comprometidos — A primeira aparição foi em Cadeia de Notícias ABMedia.
