اخترق المهاجمون حزمة Mistral AI الرسمية للغة بايثون على موقع PyPI، إلى جانب مئات الحزم الأخرى الشائعة الاستخدام بين المطورين، مما أدى إلى كشف رموز GitHub ومفاتيح الحوسبة السحابية وخزائن كلمات المرور في جميع أنحاء مجتمع مطوري الذكاء الاصطناعي والعملات الرقمية.
أعلنت شركة مايكروسوفت لأمن المعلومات في 11 مايو أنها تحقق في إصدار 2.4.6 من حزمة mistralai على PyPI بعد اكتشاف كود خبيث تم حقنه في ملف mistralai/client/init.py والذي يتم تنفيذه فور استيراد الحزمة، حيث يقوم بتحميل حمولة ثانوية من العنوان 83.142.209.194 إلى المجلد /tmp/transformers.pyz وتشغيلها على أنظمة لينكس.
اسم الملف يقلد إطار عمل Transformers الشهير من Hugging Face. ويعتبر اختراق Mistral جزءًا من حملة منسقة يطلق عليها الباحثون اسم Mini Shai-Hulud.
أفادت منصة SafeDef الأمنية أن العملية اخترقت أكثر من 170 حزمة ونشرت 404 نسخ ضارة بين 11 و12 مايو.
يحمل الهجوم تصنيف CVE-2026-45321 بدرجة خطورة 9.6 على مقياس CVSS، مما يجعله بالغ الخطورة.
نموذج الأمان SLSA انكسر للتو
ما يجعل هذا الهجوم فريدًا من الناحية الهيكلية: أن الحزم الضارة كانت تحمل شهادات أصل صالحة من SLSA Build Level 3. شهادة SLSA هي وثيقة تشفير يتم إنشاؤها بواسطة Sigstore للتحقق من أن الحزمة بنيت من مصدر موثوق.
أفادت شركة Snyk أن هجوم TanStack هو أول حالة موثقة لحزم npm ضارة تحمل شهادات أصل SLSA صالحة، مما يعني أن أنظمة الدفاع المعتمدة على الشهادات أصبحت غير كافية بشكل واضح الآن.
قام المهاجمون، المعروفون باسم TeamPCP، بسلسلة ثلاث ثغرات: إعداد خاطئ لسير العمل pull_request_target، وتسميم ذاكرة التخزين المؤقت لـ GitHub Actions، واستخراج رمز OIDC من ذاكرة وقت التشغيل في عملية GitHub Actions.
تم كتابة التغيير الخبيث تحت هوية مزيفة تقلد تطبيق GitHub الخاص بـ Anthropic Claude، مع بادئة [skip ci] لتجاوز الفحوصات الآلية.
ماذا يسرق البرنامج الضار وكيف ينتشر
كما ذكرت Cryptopolitan في حادثة Trust Wallet في يناير 2026 المرتبطة بخسائر بقيمة 8.5 مليون دولار، فقد تطورت دودة Shai-Hulud عبر عدة موجات منذ سبتمبر 2025.
يضيف هذا المتغير الجديد سرقة خزائن كلمات المرور، حيث وثق باحثو Wiz أن البرنامج الضار يستهدف الآن خزائن 1Password وBitwarden إلى جانب مفاتيح SSH وبيانات AWS وGCP وحسابات خدمة Kubernetes ورموز GitHub وبيانات نشر npm.
يقوم برنامج السرقة بإخراج البيانات المسروقة عبر ثلاث قنوات احتياطية: نطاق مزيف (git-tanstack.com) وشبكة المراسلة اللامركزية Session ومستودعات GitHub ذات طابع Dune تم إنشاؤها برموز مسروقة.
يخرج البرنامج الضار إذا اكتشف إعدادات اللغة الروسية. على الأنظمة الموجودة في إسرائيل أو إيران، يقدم احتمالًا بنسبة 1 من 6 لتنفيذ مسح تكريري (rm -rf /).
كيف ردت Mistral والنظام البيئي الأوسع
نشرت Mistral استشارة أمنية في 12 مايو قالت فيها إن بنيتها الأساسية لم تخترق. وأرجعت الشركة الحادثة إلى جهاز مطور مخترق مرتبط بحملة سلسلة التوريد TanStack الأوسع.
تم رفع إصدار mistralai==2.4.6 بعد منتصف ليل 12 مايو بتوقيت UTC مباشرة، قبل أن يقوم PyPI بعزل المشروع.
حزم npm المخترقة، بما في ذلك @mistralai/mistralai و@mistralai/mistralai-azure و@mistralai/mistralai-gcp، كانت متاحة لعدة ساعات قبل إزالتها.
يتجاوز حجم التنزيلات الأسبوعي التراكمي للحزم المخترقة 518 مليون تنزيل. حزمة @tanstack/react-router وحدها تحصل على 12.7 مليون تنزيل أسبوعي.
يُنصح المطورون الذين قاموا بتثبيت الإصدارات المتأثرة بتدوير مفاتيح السحابة ورموز GitHub ومفاتيح SSH ومفاتيح API للتبادلات، وفحص المجلدات .claude/ و.vscode/ للبحث عن روابط استمرارية.
الأسئلة الشائعة
- س: ما هو الهجوم الذي تعرضت له حزمة Mistral AI؟
ج: تم اختراق حزمة Mistral AI الرسمية على PyPI عبر كود خبيث يسرق رموز GitHub ومفاتيح السحابة وخزائن كلمات المرور. الهجوم جزء من حملة أكبر ضد أكثر من 170 حزمة برمجية. - س: كيف يمكنني حماية نفسي من هذا الهجوم؟
ج: إذا كنت قد استخدمت الإصدارات المتأثرة، يجب عليك تغيير كل مفاتيح الوصول وكلمات المرور فورًا، وفحص مجلدات المشروع بحثًا عن أي ملفات مشبوهة، ومراجعة سجلات النشاط في حساباتك. - س: هل تم اختراق بنية Mistral الأساسية؟
ج: لا، أكدت Mistral أن بنيتها الأساسية لم تخترق، وأن الاختراق حدث عبر جهاز مطور تابع للشركة مرتبط بحملة أوسع تستهدف سلسلة توريد البرمجيات.
