TeamPCP wystawia na sprzedaż repozytoria Mistral AI po incydencie supply chain

Wprowadzenie do problemu / definicja

Grupa TeamPCP poinformowała o rzekomej sprzedaży wewnętrznych repozytoriów powiązanych z Mistral AI po incydencie bezpieczeństwa związanym z łańcuchem dostaw oprogramowania. Sprawa dotyczy kompromitacji wybranych pakietów SDK publikowanych w ekosystemach npm i PyPI oraz potencjalnych następstw obejmujących systemy zarządzania kodem i środowiska deweloperskie.

Ataki typu supply chain polegają na przejęciu zaufanego elementu procesu tworzenia, testowania lub dystrybucji oprogramowania. W praktyce oznacza to, że napastnicy nie muszą uderzać bezpośrednio w końcową ofiarę, lecz mogą wykorzystać pakiety, workflow CI/CD, poświadczenia publikacyjne lub urządzenia deweloperów, aby rozprzestrzenić złośliwy kod dalej.

W skrócie

• TeamPCP twierdzi, że pozyskał około 450 repozytoriów i 5 GB danych związanych z projektami Mistral AI.
• Dane miały zostać wystawione na sprzedaż za 25 tys. dolarów.
• Mistral AI potwierdził naruszenie systemu zarządzania kodem, ale zaznaczył, że dochodzenie nie wykazało kompromitacji infrastruktury produkcyjnej, usług hostowanych ani danych użytkowników.
• Incydent został powiązany z wcześniejszym atakiem supply chain obejmującym skażone pakiety SDK publikowane w npm i PyPI.
• Zainfekowane wersje zostały usunięte, jednak organizacje korzystające z podatnych wydań powinny przeprowadzić pełną weryfikację środowisk.

Kontekst / historia

Incydent należy rozpatrywać w szerszym kontekście kampanii supply chain dotyczących narzędzi i bibliotek open source. Tego rodzaju operacje coraz częściej wykorzystują zaufane elementy ekosystemu developerskiego, ponieważ jedna skuteczna kompromitacja może otworzyć drogę do wielu kolejnych ofiar.

W przypadku Mistral AI firma opublikowała ostrzeżenie bezpieczeństwa wskazujące, że źródłem problemu był wpływ zewnętrznego ataku na urządzenie deweloperskie. W rezultacie doszło do opublikowania zmodyfikowanych wersji wybranych pakietów SDK w publicznych rejestrach. Złośliwe wydania były dostępne przez ograniczony czas, po czym je wycofano.

Dodatkowym elementem eskalującym wagę sprawy była późniejsza aktywność TeamPCP, które zaczęło reklamować rzekomo pozyskane dane i repozytoria na forum przestępczym. Taki model działania jest dziś typowy: techniczna kompromitacja szybko przechodzi w fazę monetyzacji, obejmując sprzedaż kodu źródłowego, dostępu lub danych wewnętrznych.

Analiza techniczna

Z technicznego punktu widzenia kluczowe są dwa wątki: kompromitacja pakietów oraz możliwy wtórny dostęp do repozytoriów i systemów zarządzania kodem. Według informacji przekazanych przez firmę incydent rozpoczął się od naruszenia urządzenia deweloperskiego, co sugeruje klasyczny scenariusz pivotu do legalnych procesów publikacji oprogramowania.

Wśród podatnych wydań wymieniono po stronie npm pakiety @mistralai/mistralai w wersjach 2.2.2, 2.2.3 i 2.2.4, @mistralai/mistralai-azure w wersjach 1.7.1, 1.7.2 i 1.7.3 oraz @mistralai/mistralai-gcp w wersjach 1.7.1, 1.7.2 i 1.7.3. W ekosystemie PyPI zagrożona była wersja mistralai 2.4.6.

Istotna pozostaje różnica pomiędzy zachowaniem złośliwych pakietów. Według dokumentacji producenta zmodyfikowane wydania npm były w praktyce nieoperacyjne, ponieważ odwoływały się do nieistniejącego pliku i nie realizowały skutecznego ładunku. Znacznie większe ryzyko dotyczyło pakietu Python publikowanego w PyPI. Tam złośliwy kod miał uruchamiać się podczas importu biblioteki w systemach Linux, pobierać dodatkowy komponent do katalogu tymczasowego i uruchamiać go w tle.

Celem takiego działania było przechwytywanie poświadczeń z typowych lokalizacji systemowych i zmiennych środowiskowych. Wskaźniki kompromitacji obejmowały między innymi obecność pliku /tmp/transformers.pyz, uruchomienie procesu python /tmp/transformers.pyz, zmienną środowiskową MISTRAL_INIT=1 oraz komunikację wychodzącą do wskazanego hosta.

Oznacza to, że analiza powłamaniowa nie powinna ograniczać się wyłącznie do przeglądu lockfile’i czy list zależności. Konieczne jest także sprawdzenie obrazów kontenerów, artefaktów buildów, cache menedżerów pakietów, prywatnych mirrorów oraz systemów, które mogły wykonać import podatnej biblioteki Python.

Twierdzenia TeamPCP o przejęciu repozytoriów obejmujących obszary treningu, fine-tuningu, benchmarkingu czy inference należy traktować ostrożnie. Z jednej strony tego typu narracja jest typowa dla przestępców próbujących zwiększyć presję i wartość oferty. Z drugiej jednak Mistral AI potwierdził naruszenie systemu zarządzania kodem, co oznacza, że całkowite wykluczenie wycieku wybranych zasobów nie jest możliwe bez pełnych wyników dochodzenia.

Konsekwencje / ryzyko

Skutki takiego incydentu mogą być wielowymiarowe. Po pierwsze, organizacje korzystające z podatnych wersji pakietów mogły narazić swoje środowiska developerskie, pipeline’y CI/CD oraz sekrety aplikacyjne na przejęcie. W grę wchodzi wyciek tokenów, kluczy API, danych konfiguracyjnych i poświadczeń do usług chmurowych.

Po drugie, nawet częściowy wyciek repozytoriów może mieć istotne znaczenie biznesowe i operacyjne. Kod źródłowy, skrypty testowe, konfiguracje oraz narzędzia benchmarkowe dostarczają napastnikom wiedzy o architekturze systemów, sposobie wdrożeń i potencjalnych słabych punktach organizacji.

Po trzecie, incydent pokazuje efekt domina charakterystyczny dla nowoczesnych ataków na łańcuch dostaw. Pojedyncza kompromitacja zaufanego komponentu może rozszerzyć zasięg zagrożenia na wiele podmiotów połączonych zależnościami, workflow automatyzacji i wspólnymi procesami budowania oprogramowania.

Rekomendacje

Organizacje, które korzystały z bibliotek Mistral AI w okresie objętym incydentem, powinny niezwłocznie ustalić, czy podatne wersje pojawiły się w ich środowiskach. Weryfikacja powinna objąć aktywne instalacje, lockfile’e, cache pakietów, obrazy kontenerów, artefakty pipeline’ów i prywatne rejestry.

Jeżeli wykryto podatną wersję, zalecane jest jej natychmiastowe usunięcie oraz przeprowadzenie pełnej procedury odzyskiwania po incydencie. Obejmuje to rotację wszystkich sekretów, do których host lub pipeline mógł mieć dostęp, przegląd logów audytowych i chmurowych, a także analizę ruchu sieciowego pod kątem znanych wskaźników kompromitacji.

• Oddzielić środowiska deweloperskie od krytycznych systemów build i publikacji.
• Ograniczyć uprawnienia tokenów CI/CD i kont serwisowych do niezbędnego minimum.
• Wdrożyć podpisywanie artefaktów i weryfikację integralności zależności.
• Monitorować nietypowe publikacje pakietów oraz zmiany w workflow automatyzacji.
• Regularnie analizować SBOM i zależności transitywne.
• Ograniczyć dostęp urządzeń deweloperskich do wrażliwych sekretów i repozytoriów.
• Korelować sygnały z EDR, logów Git, telemetryki sieciowej i systemów CI/CD.

Podsumowanie

Przypadek Mistral AI i aktywności TeamPCP pokazuje, jak szybko incydent supply chain może przejść od kompromitacji pakietów do próby sprzedaży rzekomo wykradzionych repozytoriów. Najważniejszy wniosek operacyjny jest prosty: bezpieczeństwo łańcucha dostaw oprogramowania nie kończy się na skanowaniu zależności, lecz obejmuje także ochronę urządzeń deweloperskich, poświadczeń publikacyjnych, systemów kontroli wersji i całego procesu dostarczania kodu.

Źródła

1. BleepingComputer — TeamPCP hackers advertise Mistral AI code repos for sale — https://www.bleepingcomputer.com/news/security/teampcp-hackers-advertise-mistral-ai-code-repos-for-sale/
2. Mistral Docs — Security advisories: TanStack supply chain attack affecting Mistral AI SDK packages — https://docs.mistral.ai/resources/security-advisories
3. BleepingComputer — Shai Hulud attack ships signed malicious TanStack, Mistral npm packages — https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/
4. BleepingComputer — OpenAI confirms security breach in TanStack supply chain attack — https://www.bleepingcomputer.com/news/security/openai-confirms-security-breach-in-tanstack-supply-chain-attack/