Officiële Python-client AI-model Mistral voorzien van backdoor

[Captain Kirk]

Aanvallers zijn erin geslaagd om de officiële Python-client van AI-model Mistral te voorzien van een backdoor. De Python Package Index (PyPI), waar de package normaliter wordt aangeboden, heeft de software in quarantaine geplaatst. Volgens Microsoft hebben aanvallers code in een script van de Python-client geïnjecteerd dat uiteindelijk een 'credential stealer' downloadt en uitvoert. Dergelijke malware steelt allerlei inloggegevens van besmette systemen en stuurt die terug naar de aanvallers.

Microsoft adviseert om getroffen Linux-hosts in quarantaine te plaatsen, het ip-adres waarvandaan de malware wordt gedownload te blokkeren, te monitoren op de malafide scripts en gestolen inloggegevens te wijzigen. Ook op de GitHub-pagina van Mistral wordt gesproken over de supplychain-aanval en gesteld dat er sprake is van een backdoor. Hoe de aanval kon plaatsvinden is nog niet bekendgemaakt. Volgens securitybedrijf Wiz is de aanval uitgevoerd door een groep criminelen genaamd TeamPCP, die ook voor supplychain-aanvallen op SAP, Checkmarx, Bitwarden, Lightning, Intercom en Trivy verantwoordelijk worden gehouden.

 

bron: https://www.security.nl