据 Decrypt 称,攻击者在通过 PyPI 分发的 Mistral AI 软件包中植入了恶意代码。当开发者在 Linux 系统上使用该软件包时,恶意代码会自动执行,从远程服务器下载一个名为 transformers.pyz 的文件,并在后台运行。该文件名模仿了广泛使用的 Hugging Face Transformers 库。微软的威胁情报团队表示,该恶意软件主要窃取开发者的登录凭据和访问令牌。Mistral 证实一名开发者的机器遭到入侵,但公司的基础设施未受影响。