Экосистема инструментов для разработки ИИ 12 мая в один день сообщила о двух крупных атаках на цепочку поставок: (1) Microsoft Threat Intelligence раскрыла, что в PyPI-пакет Mistral AI внедрили вредоносный код; (2) проект с фальшивым Hugging Face-моделем под OpenAI поднялся на 1-е место в топе, за 18 часов привлёк 244 тыс. загрузок и украл большое число учётных данных. По данным Decrypt, оба инцидента продемонстрировали уязвимость экосистемы разработчиков ИИ к проникновению через цепочку поставок.
Оглавление
Переключить
Кейс пакета Mistral AI: многоступенчатая атака с маскировкой под название Hugging Face Transformers
Фальшивый OpenAI-кейс на Hugging Face: 6-этапный infostealer на Rust
Значение для индустрии: AI-цепочка поставок становится новой поверхностью атаки
Кейс пакета Mistral AI: многоступенчатая атака с маскировкой под название Hugging Face Transformers
PyPI-пакет Mistral AI (менеджер Python-пакетов) подвергся внедрению вредоносного кода; 12 мая Microsoft Threat Intelligence раскрыла это в X:
Пострадавший круг: PyPI-пакет mistralai v2.4.6
Способ срабатывания: при импорте пакета в Linux-системах автоматически запускается
Вторая стадия полезной нагрузки: загрузка transformers.pyz с удалённого сервера и запуск в фоне
Ловушка в названии: transformers.pyz намеренно имитирует популярное имя библиотеки Transformers из Hugging Face
Реальная функция: кража логин-учётных данных разработчиков, access token; в некоторых системах срабатывает случайное удаление файлов в диапазоне IP-адресов Израиля или Ирана
Mistral 13 мая подтвердил эту атаку на цепочку поставок, но подчеркнул, что «инфраструктура Mistral не была взломана, атака началась с заражённого устройства одного из разработчиков». Атака относится к широко понимаемой вредоносной серии Shai-Hulud (активна с сентября 2025 года, нацелена на цепочки поставок open source-пакетов npm и PyPI).
Фальшивый OpenAI-кейс на Hugging Face: 6-этапный infostealer на Rust
Параллельно на платформе моделей ИИ Hugging Face появился фальшивый проект модели под названием «Open-OSS/privacy-filter», который намеренно имитирует модель Privacy Filter, опубликованную OpenAI в апреле:
Накопленные загрузки: 244 тыс. за 18 часов
Накопленные лайки: 667 (из них 657, как подозревают, были накручены бот-аккаунтами)
Позиция в трендах: поднимался на 1-е место в трендовом листинге Hugging Face
Команда-триггер: пользователям предлагалось выполнить _start.bat (Windows) или loader.py (Linux/Mac)
Фактические действия: 6-этапный infostealer на Rust, кража следующих данных:
—Пароли и Cookie в браузерах Chrome/Firefox
—Discord token
—сид-фразы кошельков криптовалют
—учётные данные SSH и FTP
—скриншоты со всех экранов
Этот модельный проект разоблачила компания по кибербезопасности HiddenLayer; Hugging Face удалил его. Одновременно HiddenLayer также выявила 7 похожих вредоносных модельных проектов, часть из которых имитировала другие популярные модели ИИ, включая Qwen3 и DeepSeek.
Значение для индустрии: AI-цепочка поставок становится новой поверхностью атаки
Цепочка новостей: 3 случая AI-связанных атак на цепочку поставок, раскрытые на этой неделе одновременно,—Mistral PyPI, фальшивый OpenAI-HuggingFace и кейс с нулевым днём от Google, раскрытый 5/11,—показывают, что экосистема разработчиков ИИ стала приоритетной поверхностью атаки для хакеров.
Общие черты трёх случаев:
Злоумышленники маскируются под законных поставщиков AI-инструментов (PyPI-пакет, HuggingFace-модель, эксплуатационная утилита уязвимости нулевого дня для AI)
Цель — группа «Web3 и разработчики ИИ», у которой есть высокоприоритетные токены, криптокошельки и облачные учётные записи
Путь к отмыванию/кражам быстрый — в кейсе Hugging Face 244 тыс. загрузок за 18 часов, что указывает на быстрое расширение масштаба воздействия
Недостаточные механизмы проверки у крупных платформ (PyPI, HuggingFace), не позволяющие оперативно распознавать поддельные проекты
Для разработчиков криптовалют и Web3 эти инциденты усиливают угрозу, упомянутую в отчёте CertiK, опубликованном в ту же неделю, «Северокорейские хакеры похитили 2,06 млрд долларов»: «социальная инженерия + 6 месяцев скрытности» — у атакующих в 2026 году уже нет необходимости напрямую взламывать биржи; достаточно загрязнить open source-пакеты, которыми пользуются разработчики, чтобы косвенно получить соответствующие ключи и средства.
Практические меры защиты для индивидуальных разработчиков: проверять подписи и издателя перед установкой пакетов, запускать только что скачанные AI-модели в отдельной виртуальной машине, регулярно менять ключи API бирж, не хранить сид-фразы криптокошельков на устройствах, подключённых к сети. Для команд на уровне процесса нужно выстроить «SBOM (Software Bill of Materials)» и процедуры подписи цепочки поставок.
Дальнейшими для отслеживания остаются инциденты, включая результаты расследования компрометации внутренних устройств Mistral, выяснение, внедрит ли Hugging Face более строгий механизм проверки в трендовом листинге, и последующие материалы по другим вредоносным модельным проектам, разоблачённым HiddenLayer (включая фальшивые версии Qwen3 и DeepSeek).
Эта статья: две атаки на цепочку поставок AI-пакетов — Mistral и поддельная OpenAI-модель тоже оказались скомпрометированы. Впервые опубликовано в Цепочка новостей ABMedia.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
