Die Entwickler-Tools-Ökologie für KI meldete am 12. Mai am selben Tag zwei große Angriffe auf die Lieferkette: (1) Microsoft Threat Intelligence enthüllte, dass ein PyPI-Paket von Mistral AI mit Schadcode versehen wurde; (2) ein gefälschtes OpenAI-Projekt für ein Hugging-Face-Modell schaffte es auf Platz 1 der Trendliste und zog innerhalb von 18 Stunden 244.000 Downloads an, wobei zudem massenhaft Zugangsdaten abgegriffen wurden. Laut Decrypt- Bericht zeigen beide Vorfälle die Verwundbarkeit der KI-Entwickler-Ökosysteme gegenüber Lieferketten-Intrusionen.
Table of Contents
Toggle
Mistral AI-Paket-Fall: Zwei-Phasen-Angriff mit Täuschung über den Namen von Hugging Face Transformers
Gefälschter OpenAI-Hugging-Face-Fall: Sechs Stufen infostealer in Rust geschrieben
Bedeutung für die Industrie: KI-Lieferkette wird zur neuen Angriffsfläche
Mistral AI-Paket-Fall: Zwei-Phasen-Angriff mit Täuschung über den Namen von Hugging Face Transformers
Das PyPI-Paket von Mistral AI (Python-Paketmanager) wurde mit bösartigem Code infiziert; Microsoft Threat Intelligence deckte den Fall am 12. Mai auf X auf:
Betroffener Umfang: Mistralai-PyPI-Paket v2.4.6
Auslöser: Automatische Ausführung beim Import des Pakets auf Linux-Systemen
Zweite Stufe des Payload: Laden von transformers.pyz von einem Remote-Server und Ausführen im Hintergrund
Namensfalle: transformers.pyz ahmt gezielt den Namen der beliebten Hugging-Face-Transformers-Funktionsbibliothek nach
Tatsächliche Funktion: Diebstahl von Login-Zugangsdaten, access token für Entwickler; in Teilen von Systemen zufälliges Löschen von Dateien, die sich in IP-Adressbereichen Israels oder des Iran befinden
Mistral bestätigte am 13. Mai den Lieferkettenangriff, betonte jedoch, dass „die Mistral-Infrastruktur nicht kompromittiert wurde und der Angriff von einem betroffenen Entwicklergerät ausging“. Der Angriff wird der breiteren Malware-Serie Shai-Hulud zugeordnet (seit September 2025 aktiv, mit Zielen auf die Lieferkette von Open-Source-Paketen für npm und PyPI).
Gefälschter OpenAI-Hugging-Face-Fall: Sechs Stufen infostealer in Rust geschrieben
Parallel tauchte auf der KI-Modellplattform Hugging Face ein gefälschtes Modellprojekt namens „Open-OSS/privacy-filter“ auf, das gezielt das Privacy-Filter-Modell nachahmte, das OpenAI im April öffentlich gemacht hatte:
Kumulierte Downloads: 244.000 innerhalb von 18 Stunden
Kumulierte Likes: 667 (davon 657 mutmaßliche Bot-Konten, die die Likes hochgepusht haben)
Hot-Ranking: Es schaffte zeitweise auf Platz 1 der Hugging-Face-Trendliste
Auslösendes Kommando: Empfohlen, dass Nutzer _start.bat (Windows) oder loader.py (Linux/Mac) ausführen
Tatsächliches Verhalten: Sechs Stufen infostealer in Rust geschrieben, mit Diebstahl der folgenden Daten:
— Passwörter und Cookies von Chrome-/Firefox-Browsern
— Discord token
— Krypto-Wallet-Mnemonics
— SSH- und FTP-Zertifikate
— Screenshots von allen Bildschirmen
Das Modellprojekt wurde von der KI-Sicherheitsfirma HiddenLayer aufgedeckt, Hugging Face hat es entfernt. Zeitgleich identifizierte HiddenLayer noch 7 ähnliche bösartige Modellprojekte, teils als Nachahmungen von anderen beliebten KI-Modellen wie Qwen3 und DeepSeek.
Bedeutung für die Industrie: KI-Lieferkette wird zur neuen Angriffsfläche
Ketten-News-Beobachtung: Diese Woche wurden gleichzeitig 3 KI-bezogene Lieferkettenvorfälle aufgedeckt—Mistral PyPI, der gefälschte OpenAI HuggingFace-Fall sowie der von Google am 11.5. offengelegte Fall eines KI-Fertigungs-0day-Exploit—zeigen, dass das KI-Entwicklerökosystem bereits zur bevorzugten Angriffsfläche von Hackern geworden ist.
Gemeinsame Muster der drei Fälle:
Angreifer tarnen sich als legitime KI-Tool-Anbieter (PyPI-Pakete, HuggingFace-Modelle, KI-Fertigungs-Lücken-Exploits)
Zielgruppe sind „Web3- und KI-Entwickler“—also eine Gruppe mit hoch privilegierten token, Krypto-Wallets und Cloud-Konten
Geldwäsche-/Diebstahlpfade laufen schnell ab—der HuggingFace-Fall mit 244.000 Downloads in 18 Stunden deutet darauf hin, dass sich die Reichweite rasch ausweitet
Unzureichende Prüfmechanismen großer Plattformen (PyPI, HuggingFace) reichen nicht aus, um Fake-Projekte zeitnah zu erkennen
Für Krypto- und Web3-Entwickler stärken diese Ereignisse die in dem von CertiK in derselben Woche veröffentlichten Bericht „2025 Nordkorea-Hacker stahlen 2,06 Milliarden US-Dollar“ genannte Bedrohung „Social Engineering + 6 Monate Lauerzeit“—Angreifer im Jahr 2026 brauchen keine direkten Angriffe auf Kryptobörsen mehr; es genügt, Open-Source-Pakete zu kontaminieren, die Entwickler verwenden, um indirekt an die entsprechenden Schlüssel und Gelder zu gelangen.
Praktische Abwehrmaßnahmen für einzelne Entwickler: Signaturen und Herausgeber vor der Paketinstallation verifizieren; das heruntergeladene KI-Modell in einer separaten virtuellen Maschine laufen lassen; Exchange-API-Schlüssel regelmäßig rotieren; Krypto-Wallet-Mnemonics nicht auf vernetzten Geräten speichern. Auf Team-Ebene muss man „SBOM (Software- Materialliste)“ und Lieferketten-Signierungsprozesse aufbauen.
Nachverfolgbar sind unter anderem: Untersuchungsergebnisse zur Kompromittierung interner Geräte bei Mistral; ob Hugging Face einen strengeren Prüfmechanismus für Trendlisten einführt; sowie die Folgeinformationen zu weiteren bösartigen Modellprojekten, die von 7 HiddenLayer aufgedeckt wurden (einschließlich gefälschter Versionen von Qwen3 und DeepSeek).
Dieser Artikel: Doppelte Angriffe auf die KI-Paket-Lieferkette—Mistral und das gefälschte OpenAI-Modell werden beide kompromittiert; erstmals erschienen bei Ketten-News ABMedia.
