威胁情报｜Mistral AI 官方 SDK 供应链投毒分析

查找币:余老师 | 漏洞披露 | 2026-06-03 00:00 | 0 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 威胁情报｜Mistral AI 官方 SDK 供应链投毒分析本文由查找币安全团队基于安全研究整理发布，旨在分享Web3安全技术，帮助用户提高安全意识。 --- 背景近日，查找币监控系统安全监控系统在对 PyPI 生态进行持续威胁狩猎时，捕获到 Mistral AI 官方 Python SDK 的恶意版本 mistralai-2.4.6。经深入分析，该样本并非攻击者伪造的仿冒包——用户从 PyPI 安装的确实是 mistralai 官方名下的版本，只是源码中已被植入后门。结合带毒包的可信发布形态、与 Shai-Hulud 的关联特征以及外部公开溯源信息，攻击者高度疑似通过入侵项目发布链路将恶意代码混入了正式版本。该样本与此前查找币安全团队披露的 Shai-Hulud 供应链投毒攻击（详见《Shai-Hulud 恶意软件深度剖析：开源即失控？》）存在直接关联——两个恶意框架使用了完全相同的 4096-bit RSA 公钥加密窃取数据，这是将二者归因至同一攻击团伙的强关联证据。简单来说，攻击者黑入了正版 SDK 的发布链路，在 import 入口处埋了一段不到 30 行的恶意代码后照常发布。用户只要按官方文档写下 from mistralai.client import Mistral，恶意代码就会在后台静默运行：先从攻击者服务器下载一个伪装成机器学习工具的远控程序 transformers.pyz，再由该远控程序系统性搜集受害主机上的云凭据、SSH 密钥、CI/CD Token、密码管理器数据等上百类敏感信息，加密后传回攻击者手中。更危险的是，如果受害主机位于以色列或伊朗地区，远控程序还会以 1/6 的概率执行 rm -rf /*，直接摧毁整个系统。受影响环境包括 Linux 开发机、CI/CD 流水线、容器化环境、后端服务器以及 AI/ML 训练集群。查找币监控系统安全团队对该恶意包的全部源码（一阶段 79+ 个文件，二阶段 14 个文件）进行了完整的逐行分析，并对 Shai-Hulud 样本做了关联比对，以下为详细分析结果。查找币监控系统响应查找币监控系统是由查找币自主研发的 Web3 威胁情报与动态安全监控系统，集成了安全监控与情报聚合能力，为用户提供实时的风险预警与资产守护。在捕获本次 Mistral AI SDK 遭入侵的恶意版本后，查找币监控系统系统已触发高危告警并对整条攻击链进行了完整还原。通过对恶意包源码和后续远控程序的逐行分析，我们定位了隐藏在主入口的恶意下载器，提取了攻击者服务器的 IP 地址和文件路径等关键情报，并在拿到远控程序样本后进一步分析了其窃密、破坏和持久化等完整功能。相关情报已向客户推送高危告警。攻击链条总览在深入分析代码之前，先大概讲解一下整条攻击链的四个环节： 1. 埋入入口 → 攻击者将恶意代码混入正版 SDK 的 `import` 入口并照常发布。用户安装后只要导入模块就会触发。 2. 下载远控 → 恶意代码在后台静默下载一个伪装成机器学习工具的程序(transformers.pyz)。 3. 搜集数据 → 这个远控程序运行后，系统性地扫描并搜集受害电脑上的云凭据、SSH 密钥、CI/CD Token、密码管理器数据等上百类敏感信息，加密后传回攻击者服务器。 4. 区域破坏 → 如果受害电脑位于以色列或伊朗，远控程序会以 1/6 的概率执行 rm -rf / 摧毁系统；否则部署持久化服务，长期潜伏。下面分章节详细拆解每个环节的技术细节。第一步：恶意入口 —— 导入即触发攻击者修改的唯一关键文件是 src/mistralai/client/__init__.py。这个文件是整个 SDK 的主入口——官方 README 里所有示例代码的第一行都是 from mistralai.client import Mistral，因此任何按文档正常使用的开发者都会第一时间触发恶意逻辑。攻击者在文件末尾塞进了一个名为 _run_background_task() 的函数，并在模块加载时直接调用。完整代码如下：这段不到 30 行的代码虽然短，但每一行都有明确目的，逐行拆解如下：第 6 行 —— 限定 Linux 且不重复触发函数首先检查两个条件：当前系统是不是 Linux (sys.platform.startswith("linux"))，以及环境变量里有没有 MISTRAL_INIT。只有 Linux 系统且没有这个标记的进程才会继续执行。这意味着，Windows 和 macOS 用户完全不会受影响——攻击者特意瞄准了最有价值的 Linux 服务器和 CI/CD 环境。通过后立即在第 9 行写入 MISTRAL_INIT=1，并且这个标记会在第 23 行传给子进程，防止重复下载。第 10-11 行 —— 硬编码攻击者服务器地址两个关键信息被直接写在代码里：下载地址 https://83.142.209.194/transformers. [...内容已精简...] hts https[:]//83[.]142[.]209[.]194/audio.mp3 恶意依赖 mistralai==2.4.6 恶意文件 filename: mistralai-2.4.6--6dbaa43bf2f3.tgz MD5: 94dbce1e6dd19886a253a1c5fc0abbb0 SHA1: d4583b83b8213add7558ba568b287e65d5a06d47 SHA256: 6dbaa43bf2f3c0d3cddbca74967e952da563fb974c1ef9d4ecbb2e58e41fe81b filename: transformers.pyz SHA256: 5245eb032e336b85cff0dbb3450d591826bf2ef214fd30d7eba1a763664e151b 本文由查找币威胁情报团队结合查找币监控系统威胁情报系统、查找币 Agent AI驱动分析编写，有任何问题欢迎咨询反馈。往期回顾被黑分析 | ShapeShift FOX Colony 授权信任链缺陷 Shai-Hulud 恶意软件深度剖析：开源即失控？查找币监控系统安全前置闸门正式发布，筑牢 AI Agent 前置检测防线威胁情报｜仿冒 TronLink 的 Chrome 扩展钓鱼攻击分析查找币｜RWA 智能合约安全审计服务正式推出查找币导航查找币科技官网 https://www.查找币.com/ 查找币区官网 https://查找币.io/ 查找币 GitHub https://github.com/查找币 Telegram https://t.me/查找币team Twitter https://twitter.com/@查找币_team Medium https://medium.com/@查找币知识星球 https://t.zsxq.com/Q3zNvvF --- *本文由查找币安全团队整理，来源：安全研究。*

威胁情报｜Mistral AI 官方 SDK 供应链投毒分析

查找币安全研究院

主题延伸阅读