Хакеры пощадили русскоязычных пользователей и объявили охоту на Израиль и Иран
Подразделение Microsoft Threat Intelligence подтвердило факт компрометации пакета mistralai в каталоге PyPI. Злоумышленники опубликовали вредоносную версию 2.4.6, которая при импорте на Linux-машинах автоматически загружала дополнительный файл и скрытно запускала его в фоне. Файл маскировался под библиотеку Hugging Face Transformers и действовал как стилер: собирал логины, пароли, токены доступа. После отправки похищенного на управляющий сервер следы активности заметались.
Авторы вредоносного кода предусмотрели несколько необычных проверок. Если в системе обнаруживались русскоязычные настройки локали, основная нагрузка не активировалась. Таким образом злоумышленники исключали заражение пользователей из России и соседних стран, где риск уголовного преследования для них выше. Сама по себе эта практика не нова, но здесь она реализована особенно аккуратно: вирус просто прекращал работу, не оставляя лишних следов. Хакерские угрозы становятся всё более изощрёнными, так недавно пострадал сайте разработчика утилит CPU-Z и HWMonitor, где оригинальные файлы были заменены на вредоносные.
Ещё более странная логика заложена для устройств, чьё местоположение связано с Израилем или Ираном. На таких системах с определённой вероятностью выполнялась команда rm -rf /, полностью уничтожающая данные на диске. Никакого шифрования или требований выкупа — просто безвозвратное удаление. Microsoft связывает этот эпизод с кампанией Shai-Hulud, которая с сентября 2025 года поражает доверенные пакеты в цепочках поставок ПО. Сама Mistral AI заявила, что её инфраструктура не была скомпрометирована, а инцидент вызван заражением устройства одного из разработчиков в рамках более широкой атаки на платформу TanStack.
Рекомендации стандартны, но от этого не
