TeamPCP vende repo Mistral AI dopo attacco TanStack su OpenAI

TeamPCP mette in vendita repository interni di Mistral AI mentre OpenAI risponde all’attacco supply chain TanStack con rotazione di certificati e aggiornamenti obbligatori. Il gruppo hacker minaccia di pubblicare quasi 450 repository interni per 25.000 dollari se non trova acquirenti entro una settimana, mentre Mistral AI conferma la breve contaminazione dei suoi SDK npm e PyPI. L’attacco, collegato al worm Mini Shai-Hulud, ha colpito due dispositivi di dipendenti OpenAI e ha diffuso malware specializzato nel furto di credenziali AWS, chiavi SSH e segreti cloud. Gli eventi di metà maggio 2026 mostrano come gli attacchi alla supply chain npm stiano diventando un rischio sistemico per l’intero ecosistema dell’intelligenza artificiale. Le conseguenze coinvolgono direttamente aziende leader come Mistral AI e OpenAI, ma riguardano anche sviluppatori, vendor downstream e organizzazioni che dipendono da librerie open source condivise.

L’attacco TanStack innesca la campagna Mini Shai-Hulud

L’attacco compromette pacchetti npm e PyPI di TanStack tra l’11 e il 12 maggio 2026. Gli attaccanti sfruttano credenziali CI/CD rubate per pubblicare versioni trojanizzate delle dipendenze, trasformando un componente usato dagli sviluppatori in un vettore di infezione su larga scala. Il malware, noto come Mini Shai-Hulud, infetta migliaia di utenti che installano i pacchetti compromessi e avvia subito la raccolta di credenziali da ambienti Linux e Windows. Il payload esfiltra chiavi SSH, variabili d’ambiente, token cloud e credenziali sensibili verso server C2 come 83.142.209.194 e domini di fallback. La propagazione avviene rapidamente attraverso registry pubblici e progetti downstream, contaminando anche SDK di Mistral AI e repository interni collegati a OpenAI. L’incidente dimostra quanto una singola compromissione upstream possa espandersi in poche ore verso l’intera filiera AI.

Mistral AI conferma la compromissione temporanea degli SDK

Mistral AI pubblica l’advisory MAI-2026-002 il 12 maggio 2026 e lo aggiorna il 14 maggio per chiarire l’impatto della compromissione. I pacchetti npm @mistralai/mistralai nelle versioni 2.2.2, 2.2.3 e 2.2.4, @mistralai/mistralai-azure nelle versioni 1.7.1-1.7.3 e @mistralai/mistralai-gcp nelle versioni 1.7.1-1.7.3 risultano pubblicati per poche ore prima della rimozione. Anche il pacchetto PyPI mistralai 2.4.6 viene coinvolto nella contaminazione. Secondo l’azienda, il pacchetto npm conteneva script inoffensivi mentre il pacchetto PyPI eseguiva un processo in background capace di rubare credenziali da posizioni standard su Linux. Mistral AI isola un solo dispositivo developer compromesso e conferma che servizi hosted, dati utente, ambienti di ricerca e sistemi di testing non risultano violati. L’azienda raccomanda comunque rimozione immediata delle versioni affette, rotazione dei segreti e monitoraggio dei log cloud verso gli indicatori di compromissione.

TeamPCP mette in vendita 450 repository interni di Mistral AI

TeamPCP pubblica il 14 maggio 2026 un annuncio su un forum hacker offrendo quasi 450 repository e circa 5 GB di codice sorgente interno di Mistral AI. Il gruppo chiede 25.000 dollari, dichiara che la vendita sarà riservata a un solo acquirente e minaccia di pubblicare gratuitamente tutto il materiale se non trova compratori entro una settimana. I repository riguarderebbero training, fine-tuning, benchmarking, delivery dei modelli e inference per progetti futuri. La minaccia aumenta la pressione su Mistral AI perché il codice potrebbe offrire a competitor o gruppi criminali informazioni utili per reverse engineering, attacchi mirati o analisi delle pipeline AI. Secondo Mistral, i repository in vendita non coincidono con i core code repositories e derivano dal compromesso del codebase management system durante l’attacco TanStack. L’azienda ribadisce inoltre che nessun dato sensibile di utenti o servizi hosted risulta esposto, limitando l’impatto diretto sugli utenti finali.

OpenAI ruota certificati e impone aggiornamenti macOS

OpenAI pubblica la propria risposta ufficiale il 13 maggio 2026 dopo aver individuato l’infezione su due dispositivi di dipendenti colpiti dal malware TanStack. Gli attaccanti esfiltrano credenziali da un sottoinsieme limitato di repository interni, ma l’azienda afferma che nessun dato utente, sistema di produzione o proprietà intellettuale risulta compromesso. Come misura preventiva, OpenAI revoca i certificati di firma per app iOS, macOS e Windows e avvia una rotazione estesa delle credenziali. Gli utenti macOS devono aggiornare ChatGPT Desktop, Codex App, Codex CLI e Atlas entro il 12 giugno 2026. Dopo quella data, le applicazioni non aggiornate non si avvieranno più e smetteranno di ricevere update. OpenAI isola i sistemi coinvolti, limita temporaneamente i workflow di deployment e coinvolge un soggetto terzo per le attività di forensics. L’azienda precisa che gli utenti non devono cambiare password, ma l’obbligo di aggiornamento macOS resta una misura necessaria per ripristinare la catena di fiducia software.

La supply chain npm colpisce direttamente l’ecosistema AI

L’attacco TanStack evidenzia la fragilità delle dipendenze condivise nell’ecosistema npm e il rischio specifico per le aziende di intelligenza artificiale. Centinaia di pacchetti downstream, tra cui componenti collegati a UiPath, Guardrails AI e OpenSearch, vengono coinvolti o esposti alla propagazione del malware. TeamPCP sfrutta il leak del codice Shai-Hulud per creare varianti più aggressive e monetizzare rapidamente i dati sottratti. La vendita dei repository Mistral AI introduce un ulteriore livello di rischio perché il codice interno potrebbe essere analizzato per individuare vulnerabilità future, ricostruire pipeline operative o preparare campagne mirate contro ambienti AI. OpenAI e Mistral AI reagiscono con misure di contenimento rapide, ma l’incidente mostra che anche aziende con forti capacità tecniche restano vulnerabili quando una dipendenza upstream viene compromessa. Il problema non riguarda più soltanto librerie marginali ma l’intera catena di produzione del software AI moderno.

Gli sviluppatori devono verificare lockfile e versioni compromesse

Gli sviluppatori devono controllare subito i lockfile npm e PyPI alla ricerca delle versioni compromesse di TanStack e degli SDK Mistral AI. Le versioni affette devono essere rimosse immediatamente, i sistemi devono essere ripuliti e tutte le chiavi potenzialmente esposte devono essere ruotate. Le aziende devono monitorare i log per connessioni verso i C2 noti, verificare accessi anomali ai repository e controllare eventuali modifiche non autorizzate nei workflow CI/CD. Diventano essenziali policy come minimumReleaseAge, provenance validation, blocco di pacchetti non verificati e revisione automatica delle dipendenze nuove o aggiornate. Anche strumenti come SBOM, firma dei pacchetti, lockfile pinned e scansioni malware nei registry devono entrare stabilmente nelle pipeline di sviluppo. Mistral AI e OpenAI stanno accelerando l’adozione di questi controlli, ma l’episodio dimostra che l’intero settore deve spostarsi verso una gestione più severa della provenienza software.

Mistral AI e OpenAI adottano una risposta coordinata

La reazione di Mistral AI e OpenAI mostra un approccio rapido e relativamente trasparente alla gestione dell’incidente. Mistral AI pubblica un advisory tecnico con versioni affette, hash dei file malevoli e indicatori di compromissione, offrendo agli sviluppatori elementi concreti per la verifica dei sistemi. OpenAI comunica pubblicamente la revoca dei certificati, la rotazione delle credenziali, l’isolamento dei sistemi e l’obbligo di aggiornamento per le app macOS. Entrambe le aziende ribadiscono che l’impatto sugli utenti finali risulta limitato e che non sono emerse prove di compromissione dei dati utente. Questa comunicazione coordinata invia un segnale importante al settore AI: gli attacchi supply chain richiedono risposta immediata, disclosure tecnica, rotazione dei segreti e contenimento operativo. La rapidità della comunicazione riduce l’incertezza, ma non elimina la necessità di verifiche indipendenti da parte di clienti enterprise e sviluppatori che hanno installato pacchetti nel periodo critico.

TeamPCP evolve da worm leaked a operazione criminale monetizzata

TeamPCP dimostra capacità operative elevate nel trasformare il leak di Shai-Hulud in una campagna supply chain monetizzabile. Dopo la pubblicazione del codice del worm, il gruppo crea varianti capaci di contaminare pacchetti npm e PyPI in poche ore, raccogliere segreti cloud e sfruttare la fiducia degli sviluppatori nei registry pubblici. La vendita dei repository Mistral AI su forum underground mostra una strategia orientata alla monetizzazione rapida, con minaccia di leak gratuito come leva negoziale. L’attacco trasforma una dipendenza tecnica come TanStack in un vettore per rubare credenziali aziendali, accedere a codebase interni e colpire direttamente fornitori AI di primo piano. Questo modello può essere replicato contro qualsiasi organizzazione che dipenda da librerie open source senza adeguati controlli di provenienza. La combinazione tra worm, furto di segreti e vendita dei dati rende Mini Shai-Hulud una minaccia più ampia rispetto a un semplice malware per sviluppatori.

Le aziende AI devono rafforzare CI/CD e provenance software

Le misure di mitigazione a lungo termine devono partire dalle pipeline CI/CD. Le aziende devono applicare hardening agli ambienti di build, segmentare i permessi, ridurre i token persistenti e firmare digitalmente tutti i pacchetti interni. La validazione della provenienza tramite strumenti come sigstore, la generazione di SBOM e la verifica automatica dei pacchetti prima dell’installazione diventano controlli indispensabili. Gli sviluppatori dovrebbero utilizzare lockfile pinned, limitare gli aggiornamenti automatici non verificati e separare ambienti di sviluppo personali da segreti aziendali. L’attacco a Mistral AI e OpenAI dimostra che anche un singolo dispositivo developer compromesso può diventare una porta d’ingresso verso repository interni e sistemi di gestione del codice. Nel settore AI, dove modelli, benchmark, pipeline di inference e codice di training rappresentano asset strategici, la supply chain software deve essere trattata come infrastruttura critica.

La compromissione TanStack conferma il rischio sistemico di npm

La campagna TanStack conferma che i registry pubblici come npm e PyPI rappresentano punti deboli critici per aziende AI, sviluppatori e fornitori enterprise. TeamPCP sfrutta questa debolezza per colpire organizzazioni di primo piano e trasformare dipendenze comuni in canali di esfiltrazione. La minaccia di leak dei repository Mistral AI aggiunge un livello di pressione economica, tecnica e reputazionale, mentre la risposta di OpenAI con revoca dei certificati e aggiornamenti obbligatori dimostra quanto l’impatto possa arrivare fino agli utenti finali delle applicazioni desktop. Il settore deve imparare rapidamente da questo incidente e rafforzare collettivamente sicurezza delle dipendenze, verifica della provenienza e gestione dei segreti. La supply chain npm non è più un problema periferico: è un’infrastruttura strategica da cui dipendono modelli AI, strumenti di sviluppo, piattaforme cloud e servizi usati quotidianamente da milioni di utenti.