TeamPCP coloca à venda 450 repositórios da Mistral AI roubados em ataque de cadeia de suprimentos

O grupo de cibercriminosos TeamPCP colocou à venda cerca de 450 repositórios internos da Mistral AI por US$ 25 mil em um fórum clandestino. Os arquivos foram obtidos como desdobramento do ataque de cadeia de suprimentos “Mini Shai-Hulud” que comprometeu pacotes oficiais da TanStack e da própria Mistral no npm.

O que aconteceu

O TeamPCP ameaça vazar publicamente o código-fonte da Mistral AI caso não encontre um comprador. Em uma postagem em fórum hacker, os criminosos afirmam estar em posse de aproximadamente 5 gigabytes “de repositórios internos e código-fonte” usados pela empresa francesa para treinamento, fine-tuning, benchmarking, entrega de modelos e inferência em projetos experimentais e futuros.

A Mistral AI é uma empresa francesa de inteligência artificial fundada por ex-pesquisadores do DeepMind (Google) e da Meta, conhecida por seus modelos de linguagem (LLMs) abertos e proprietários — alguns dos mais populares na comunidade open-source.

Em comunicado oficial enviado ao BleepingComputer, a Mistral confirmou que invasores comprometeram um sistema de gerenciamento de código após o ataque conhecido como “Mini Shai-Hulud”, que atinge a cadeia de suprimentos de software JavaScript e Python.

Como o ataque se espalhou

O incidente começou com o comprometimento de pacotes oficiais da TanStack e da Mistral AI através de credenciais de CI/CD roubadas e o uso indevido de workflows legítimos. O efeito cascata atingiu centenas de outros projetos nos registros públicos npm e PyPI, incluindo UiPath, Guardrails AI e OpenSearch.

“Eles contaminaram alguns dos nossos pacotes de SDK por um breve período”, reconheceu a Mistral em sua resposta. Segundo a empresa, a brecha ocorreu depois que um dispositivo de desenvolvedor foi impactado pelo ataque à TanStack — e a investigação forense determinou que os dados afetados não fazem parte dos repositórios de código core.

“Nem nossos serviços hospedados, nem os dados gerenciados de usuários, nem nenhum de nossos ambientes de pesquisa e testes foram comprometidos.” — Mistral AI

A oferta criminosa

No fórum onde anunciaram o pacote, os criminosos pedem US$ 25 mil em modo “Buy It Now” e prometem destruir as cópias se o pagamento for feito — modus operandi típico de grupos que monetizam dados roubados antes de queimá-los publicamente. Caso não consigam comprador em uma semana, o grupo diz que vai vazar tudo gratuitamente nos fóruns.

• Volume oferecido: aproximadamente 450 repositórios
• Tamanho: cerca de 5 GB de código-fonte
• Preço inicial: US$ 25.000 (negociável)
• Prazo da ameaça: 7 dias até vazamento público
• Comprador: exclusividade — apenas uma pessoa

OpenAI também foi atingida

No mesmo dia, a OpenAI confirmou que o ataque à TanStack impactou sistemas de dois de seus funcionários, que tinham acesso a “um subconjunto limitado de repositórios internos de código-fonte”. Um pequeno conjunto de credenciais foi roubado, mas a investigação não encontrou evidências de uso em ataques subsequentes.

Como resposta, a OpenAI rotacionou os certificados de assinatura de código expostos no incidente e está alertando usuários macOS de que precisam atualizar o aplicativo de desktop antes de 12 de junho de 2026, ou o software pode parar de funcionar e deixar de receber atualizações.

Análise: por que isso importa

O caso reforça uma tendência preocupante: ataques de cadeia de suprimentos em ecossistemas de pacotes (npm, PyPI) seguem sendo o vetor mais eficiente para alcançar empresas de IA de alto valor. A linhagem “Shai-Hulud” — agora em sua variante “Mini” — explora a confiança implícita entre desenvolvedores e gerenciadores de pacotes para se propagar lateralmente através de credenciais armazenadas em pipelines de CI/CD.

Para empresas que dependem de modelos open-source ou que integram SDKs de fornecedores de IA, o recado é direto: a sanidade de uma cadeia de dependências precisa ser auditada continuamente, e segredos em CI/CD devem ser tratados como ativos críticos — com rotação automática, princípio do menor privilégio e provenance verification (verificação de procedência de artefatos via Sigstore, SLSA ou similares).

Recomendações práticas

• Audite imediatamente quais versões de pacotes da Mistral, TanStack, UiPath, Guardrails AI e OpenSearch foram instaladas no período de comprometimento
• Rotacione todas as credenciais de CI/CD usadas em pipelines que tocaram nesses pacotes
• Habilite signature verification e lockfile pinning em build systems
• Implemente alertas para alterações suspeitas em package.json, requirements.txt e arquivos de lock
• Use ferramentas como Socket, Snyk, ou GitHub Dependabot com triagem manual para pacotes recém-publicados

Fonte: BleepingComputer