Mistral AI sous chantage : 450 dépôts en vente, une semaine pour payer
Des hackers affirment détenir près de 450 dépôts liés à Mistral AI et menacent de les publier si personne ne paie. Le groupe TeamPCP réclame 25 000 dollars sur des forums clandestins, un seul acheteur, puis suppression des fichiers. Plan B annoncé : fuite gratuite dans une semaine. Mistral reconnaît une compromission, mais reste vague sur le contenu exact des données exposées. L'entreprise confirme que des paquets de ses SDK ont été contaminés pendant une courte période. Le cœur du code, les services hébergés, les données utilisateurs et les environnements de recherche n'auraient pas été touchés. La brèche est actée. Son étendue, non.
Une compromission SDK, pas anodine
Mistral évoque un système de gestion de code compromis et une contamination temporaire de certains SDK. Ce point mérite qu'on s'y arrête : un SDK sert de porte d'entrée aux développeurs. Il automatise des appels, embarque des dépendances, s'installe rapidement dans une chaîne d'outils. Quand ce type de brique est altéré, le risque n'est pas théorique, c'est du code qui s'exécute chez des tiers.
L'entreprise insiste sur une séparation nette entre ce qui a été affecté et ce qui ne l'a pas été. Sur le papier, rassurant. Mais ça ne répond pas à la vraie question : qu'est-ce qui se trouvait exactement dans les dépôts potentiellement exfiltrés ?
Dans ce type d'incident, des éléments jugés « non critiques » ont souvent de la valeur. Scripts internes de build, configurations CI/CD, fichiers d'exemple, clés oubliées dans un dépôt, bouts de documentation technique. Ce n'est pas le code qui fait peur, c'est ce que le code révèle sur les habitudes, les accès et les raccourcis.
TeamPCP : 450 repositories, 25 000 $, compte à rebours
La mécanique est connue : faire monter la pression, promettre une vente unique, menacer de publier gratuitement si personne ne paie. Ce qui change ici, c'est la cible, une entreprise d'IA très exposée, où la valeur d'un dépôt est autant technique que réputationnelle.
Une fuite publique attire l'attention, mais elle réduit aussi la valeur marchande du lot : une fois en libre accès, n'importe qui peut le copier. D'où la fenêtre courte. Et même si Mistral insiste sur le fait que le « core » n'est pas concerné, un acheteur peut chercher des détails sur l'outillage, les intégrations, ou des pistes pour de futures intrusions.
OpenAI a connu un scénario comparable avec l'incident TanStack : deux employés ayant accès à un sous-ensemble limité de dépôts internes, un petit lot d'identifiants volés, sans preuve d'usage pour des attaques supplémentaires. Même logique de base, un point d'entrée côté développeur, puis une question de périmètre.
Mini Shai-Hulud : une attaque supply chain via TanStack, npm et PyPI
L'incident est rattaché à la campagne Mini Shai-Hulud, associée au cas TanStack. TanStack, c'est un ensemble d'outils pour interfaces avec plus de 177 millions de téléchargements hebdomadaires. Le principe : empoisonner un paquet largement utilisé pour distribuer un infostealer, puis récupérer tokens, secrets cloud et clés SSH, tout ce qui traîne dans des environnements de développement.
Les attaquants ont cherché à détourner des mécanismes de publication CI/CD et des jetons OpenID Connect pour pousser des mises à jour malveillantes via des canaux légitimes. C'est le scénario que les équipes sécurité redoutent le plus : la mise à jour arrive par le chemin attendu. Et quand un poste développeur est compromis, l'attaquant ne vise pas seulement la machine, il vise la carte d'accès vers Git, cloud et pipelines.
Les analyses techniques ont également identifié un fichier nommé transformers.pyz, conçu pour ressembler à la bibliothèque Transformers de Hugging Face et se fondre dans des environnements ML. Le malware se comporte comme un voleur d'identifiants et de tokens, avec des fonctions d'évitement sur les systèmes en langue russe et des capacités de suppression de fichiers sur certaines machines localisées en Israël ou en Iran.
Côté défense, les recommandations restent les mêmes : isoler les systèmes Linux touchés, bloquer les adresses associées, et surtout remplacer les identifiants potentiellement exposés. Le vrai risque, c'est l'accès réutilisé après l'incident.
À retenir
- Mistral AI confirme une compromission et une contamination temporaire de certains SDK
- TeamPCP revendique 450 dépôts et réclame 25 000 $ sous menace de publication
- L'incident s'inscrit dans une attaque supply chain via TanStack, npm et PyPI
- Les risques portent principalement sur les identifiants, secrets CI/CD et accès développeurs
Mistral AI visé par un chantage illustre un scénario devenu trop courant : une compromission ciblée sur la chaîne d'outils, des données potentiellement exfiltrées, et une communication d'entreprise qui rassure sans vraiment répondre. Si vous utilisez les SDK Mistral dans vos projets, auditez immédiatement vos dépendances et vérifiez les versions installées pendant la période concernée. Activez la surveillance des comportements anormaux dans vos environnements de développement. Appliquez le principe du moindre privilège à chaque brique tierce intégrée à votre chaîne d'outils.