Mistral AI visé par un chantage : des hackers menacent de publier 450 dépôts si personne ne paie

Des hackers affirment détenir près de 450 dépôts liés à Mistral AI et menacent de les publier en ligne si aucun acheteur ne se manifeste.

Le groupe TeamPCP met ce lot en vente pour 25 000 dollars sur des forums clandestins, avec une promesse, un seul acheteur, puis suppression des fichiers. Le problème, c’est qu’une fuite gratuite est brandie comme plan B, dans un délai annoncé d’environ une semaine. Mistral reconnaît une compromission, mais garde une zone grise sur le contenu exact des données exposées. L’entreprise explique que des paquets de son kit de développement, des SDK, ont été contaminés pendant une courte période, tout en assurant que le cur de son code, ses services hébergés, les données utilisateurs gérées et ses environnements de recherche et test n’ont pas été touchés. Dit autrement, il y a eu brèche, mais l’étendue précise reste floue.

Mistral AI confirme une compromission liée à des paquets SDK

Dans sa communication, Mistral AI parle d’un système de gestion de code compromis et d’une contamination temporaire de certains SDK. Ce point est central, parce qu’un SDK sert souvent de porte d’entrée aux développeurs, il automatise des appels, il embarque des dépendances, il s’installe vite dans une chaîne d’outils. Quand ce type de brique est altéré, le risque n’est pas théorique, c’est du code qui se retrouve exécuté chez des tiers.

L’entreprise insiste sur une séparation nette entre ce qui a été affecté et ce qui ne l’a pas été. Elle affirme que les dépôts du code “cur” ne sont pas concernés, et que ni les services hébergés, ni les données utilisateurs, ni les environnements de recherche et de test n’ont été compromis. Sur le papier, c’est rassurant, mais ça ne répond pas à la question que tout le monde se pose, qu’est-ce qui se trouvait exactement dans les dépôts potentiellement exfiltrés ou consultés.

Dans ce genre d’incident, même des éléments jugés “non critiques” peuvent avoir de la valeur. Exemples concrets, des scripts internes de build, des configurations de CI/CD, des fichiers d’exemple, des clés oubliées dans un dépôt, ou des bouts de documentation technique. Un consultant en réponse à incident, “Marc”, résume souvent le piège, ce n’est pas le code qui fait peur, c’est ce que le code révèle sur les habitudes, les accès et les raccourcis.

TeamPCP met en vente 450 dépôts pour 25 000 dollars

Le groupe TeamPCP affirme proposer un lot de près de 450 repositories pour 25 000 $, avec une option “achat immédiat” et une ouverture à la négociation. La mécanique est connue, faire monter la pression, promettre une vente unique, puis menacer de publier gratuitement si personne ne paie. Là où ça change, c’est la cible, une entreprise d’IA très exposée, où la valeur d’un dépôt peut être autant technique que réputationnelle.

Ce chantage s’inscrit dans une logique de monétisation rapide. Une fuite publique peut attirer l’attention, mais elle peut aussi réduire la valeur marchande du lot, puisqu’une fois en libre accès, n’importe qui peut le copier. D’où la fenêtre de temps courte annoncée. Et soyons francs, même si Mistral répète que ce n’est pas le “core”, un acheteur peut chercher des détails sur l’outillage, les intégrations, ou des pistes pour de futures intrusions.

La comparaison avec d’autres cas récents aide à comprendre l’angle “supply chain”. Dans le même contexte, OpenAI a indiqué que l’incident TanStack avait touché les systèmes de deux employés ayant accès à un sous-ensemble limité de dépôts internes, avec un petit lot d’identifiants volés, sans preuve d’usage pour des attaques supplémentaires. Même scénario de base, un point d’entrée côté développeur, puis une question de périmètre, ce qui a été vu, ce qui a été copié, ce qui a été réutilisé.

L’attaque Mini Shai-Hulud vise npm et PyPI via TanStack

L’incident renvoie à une campagne de type chaîne d’approvisionnement, associée à Mini Shai-Hulud et au cas TanStack. TanStack est présenté comme un ensemble d’outils pour interfaces, avec plus de 177 millions de téléchargements hebdomadaires, ce qui donne l’échelle. L’idée, c’est de “poisonner” un paquet largement utilisé pour distribuer un voleur d’informations, puis de récupérer des accès, tokens, secrets cloud, clés SSH, tout ce qui traîne dans des environnements de dev.

Dans les éléments décrits publiquement sur la campagne, les attaquants ont cherché à détourner des mécanismes de publication CI/CD et des jetons OpenID Connect pour pousser des mises à jour malveillantes via des canaux légitimes. C’est le cauchemar des équipes sécurité, parce que la mise à jour arrive par le chemin attendu. Et quand un poste développeur est compromis, l’attaquant ne vise pas seulement la machine, il vise la carte d’accès vers Git, cloud et pipelines.

Des analyses techniques ont aussi relevé un fichier nommé transformers. pyz, choisi pour ressembler à la bibliothèque Transformers de Hugging Face et se fondre dans des environnements ML. Le malware est décrit comme un voleur d’identifiants et de tokens, avec des comportements d’évitement sur des systèmes en langue russe et des fonctions pouvant supprimer des fichiers sur certaines machines situées en Israël ou en Iran. Côté défense, les recommandations classiques reviennent, isoler les systèmes Linux touchés, bloquer les adresses associées, et surtout remplacer les identifiants potentiellement exposés, parce que le vrai risque, c’est l’accès réutilisé après l’incident.