TeamPCP兜售Mistral AI程式碼儲存庫供應鏈攻擊事件

概述

2026年5月,駭客團體 TeamPCP 透過供應鏈攻擊入侵 Mistral AI,竊取約 450 個程式碼儲存庫(5 GB),並在犯罪論壇開價 2.5 萬美元求售,聲稱一週內無買家即公開洩漏。

攻擊鏈

  1. TanStack 供應鏈攻擊波及 Mistral AI 開發環境
  2. Mini Shai-Hulud 蠕蟲進一步污染 Mistral AI 的 NPM 與 PyPI 套件
  3. PyPI 惡意版本 2.4.6 被植入後門
  4. TeamPCP 成功汙染部分 Mistral AI SDK

竊得資料

項目內容
資料量近 5 GB
儲存庫數約 450 個
內容訓練、微調、基準測試、模型交付等相關程式碼
開價2.5 萬美元(獨家販售)

Mistral AI 官方回應

  • 官方聲明:核心基礎設施未遭入侵,僅一臺開發人員裝置受影響
  • 實際情況(向 Bleeping Computer 揭露):TeamPCP 確實汙染了部分 SDK
  • 影響範圍仍在調查中

來源文章

相關頁面