2 июля 2026

eur = 89.18 -0.10 (-0.11 %)

btc = 59 720.00$ 1 416.62 (2.43 %)

eth = 1 600.71$ 34.58 (2.21 %)

gram = 1.56$ 0.05 (3.08 %)

usd = 78.27 0.00 (-0.01 %)

eur = 89.18 -0.10 (-0.11 %)

btc = 59 720.00$ 1 416.62 (2.43 %)

Хакеры внедрили вредоносный код в ПО Mistral AI: вирус стирает данные и избегает русскоязычных ПК

1 минута на чтение
Мониторинг безопасности, череп, компьютер

Читайте в Telegram

|

Хакерская группировка TeamPCP организовала сложную атаку на цепочки поставок программного обеспечения, заразив более 170 пакетов в реестрах npm и PyPI, сообщает The Hacker News.

Среди пострадавших оказались популярные инструменты TanStack, Mistral AI и Guardrails AI, суммарное число загрузок которых превышает 518 млн. Кампания, получившая название Mini Shai-Hulud, направлена на кражу учётных данных облачных провайдеров, криптовалютных кошельков, ИИ-инструментов и CI/CD-систем.

Чтобы избежать обнаружения, злоумышленники выводят похищенные данные через инфраструктуру децентрализованного мессенджера Session, а также используют API GitHub для сохранения резервных копий украденной информации.

Для закрепления на заражённом устройстве вирус создаёт скрытые обработчики в редакторе Microsoft Visual Studio Code и ИИ-помощнике Claude Code. Это позволяет вредоносной программе переживать перезагрузку компьютера и запускаться заново при каждом открытии этих приложений.

Главная техническая особенность червя заключается в механизме самораспространения. В случае с пакетами TanStack хакеры внедрили вредоносный код через процессы GitHub Actions: программа генерирует кратковременный токен при помощи системы аутентификации OIDC и публикует обновления от лица авторов. Эксперты StepSecurity отмечают, что таким образом пакеты получают официальный сертификат безопасности SLSA, что делает их полностью легитимными для систем проверки. В Python-библиотеках вирус загружается в фоновом режиме автоматически в момент импорта пакета.

Анализ кода, проведённый специалистами Microsoft, выявил строгую географическую избирательность. Вирус содержит алгоритмы, которые полностью блокируют его работу в русскоязычных операционных системах. В то же время для устройств, локализованных в Израиле или Иране, предусмотрен деструктивный сценарий: с вероятностью 1 к 6 программа запускает команду rm -rf /, которая удаляет все файлы пользователя.

Дополнительная угроза кроется в механизме защиты самого вируса, известном как «переключатель мертвеца». Червь создаёт специальный токен с описанием IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner и раз в 60 секунд проверяет его активность через API GitHub.

Если разработчик заметит компрометацию и попытается отозвать этот токен в панели управления, скрипт мгновенно активирует команду rm -rf ~/, стирая всю пользовательскую директорию. Специалисты по кибербезопасности призывают разработчиков не отзывать доступы до полного отключения и изоляции заражённых машин.

Материал обновлен|
Обсудить
Блоги 675
OTP Bank
ЦНИС
Softline
StudyAI
билайн
Т-Банк
ВТБ
Слетать.ру
ВКонтакте
Газпромбанк

Привет, это Кодик! Я создан, чтобы помогать вам с  разными задачами. Задайте мне вопрос…