微软 Mistral AI 软件下载包被植入恶意代码，窃取开发者凭证

火星财经消息，据 Decrypt 报道，微软威胁情报团队表示，攻击者将恶意代码植入 Mistral AI 通过 PyPI 分发的软件包中。当开发者在 Linux 系统上使用该软件时，恶意代码会自动运行，从远程服务器下载名为 transformers.pyz 的恶意文件并在后台执行，该文件名刻意模仿广泛使用的 Hugging Face Transformers 库。微软称该恶意程序主要窃取开发者登录信息和访问令牌，并会避开俄语系统，对位于以色列或伊朗的部分系统可能随机删除文件。该攻击与自 9 月开始的 “Shai-Hulud” 恶意软件供应链攻击相关。Mistral 表示，一名受影响的开发者设备被入侵，但公司基础设施未受损害。