Ataques dobles a la cadena de suministro de paquetes de IA: Mistral y modelos falsos de OpenAI también fueron comprometidos

生态 de herramientas para desarrolladores de IA: el 12 de mayo se reportaron dos grandes ataques a la cadena de suministro el mismo día: (1) Microsoft Threat Intelligence reveló que el paquete de PyPI de Mistral AI fue insertado con código malicioso; (2) un proyecto de modelo de Hugging Face que se hacía pasar por OpenAI subió al puesto #1 de la lista de tendencias y, en 18 horas, atrajo 244 mil descargas y robó numerosas combinaciones de cuentas y contraseñas. De acuerdo con el reporte de Decrypt, ambos incidentes expusieron la vulnerabilidad de la cadena de suministro en el ecosistema de desarrolladores de IA frente a la infiltración.

Table of Contents

Toggle

Caso de paquete de Mistral AI: ataque en dos fases que se disfraza con el nombre de Hugging Face Transformers

Caso falso de OpenAI en Hugging Face: infostealer escrito en Rust en 6 fases

Significado para la industria: la cadena de suministro de IA se convierte en una nueva superficie de ataque

Caso de paquete de Mistral AI: ataque en dos fases que se disfraza con el nombre de Hugging Face Transformers

El paquete de PyPI de Mistral AI (el administrador de paquetes de Python) fue insertado con código malicioso y Microsoft Threat Intelligence lo divulgó el 12 de mayo en X:

Alcance afectado: paquete mistralai PyPI v2.4.6

Forma de activación: ejecución automática cuando se importa el paquete en un sistema Linux

Carga en 2ª fase: descarga de transformers.pyz desde un servidor remoto y ejecución en segundo plano

Trampa de nomenclatura: transformers.pyz imita a propósito el nombre del popular repositorio de la biblioteca Transformers de Hugging Face

Función real: robo de credenciales de inicio de sesión del desarrollador y tokens de acceso; en algunos sistemas se activó la eliminación aleatoria de archivos ubicados dentro de rangos de IP de Israel o Irán

Mistral confirmó el 13 de mayo que se trató de este ataque a la cadena de suministro, pero recalcó que “la infraestructura de Mistral no fue comprometida; el ataque se originó en un dispositivo de un desarrollador afectado”. El ataque se atribuye a la familia de malware de amplio espectro Shai-Hulud (activa desde septiembre de 2025, dirigida a la cadena de suministro de paquetes de código abierto de npm y PyPI).

Caso falso de OpenAI en Hugging Face: infostealer escrito en Rust en 6 fases

En paralelo, en la plataforma de modelos de IA Hugging Face apareció un proyecto de modelo falso llamado “Open-OSS/privacy-filter”, que imitaba deliberadamente el modelo Privacy Filter de OpenAI publicado en abril:

Descargas acumuladas: 244 mil en 18 horas

Me gusta acumulados: 667 (de los cuales 657 cuentas presuntamente de bots hicieron el “spam”)

Ranking de tendencia: llegó a estar en el #1 de la lista de tendencias de Hugging Face

Instrucción de activación: se recomendó a los usuarios ejecutar _start.bat (Windows) o loader.py (Linux/Mac)

Comportamiento real: infostealer escrito en Rust en 6 fases, robando los siguientes datos:

—Contraseñas y cookies del navegador Chrome/Firefox

—Discord token

—frases semilla (seed phrases) de carteras de criptomonedas

—credenciales SSH y FTP

—capturas de pantalla de todas las pantallas

HiddenLayer, una empresa de seguridad de IA, reveló el proyecto del modelo; Hugging Face lo eliminó. De manera simultánea, HiddenLayer también identificó 7 proyectos de modelos maliciosos similares, algunos imitando Qwen3, DeepSeek y otros modelos de IA populares.

Significado para la industria: la cadena de suministro de IA se convierte en una nueva superficie de ataque

Cadena noticiosa: los 3 incidentes relacionados con cadena de suministro de IA descubiertos esta semana—Mistral PyPI, el falso OpenAI HuggingFace y el caso de vulnerabilidad de “día cero” de IA para fabricación de Google revelado el 5/11—muestran que el ecosistema de desarrolladores de IA ya se ha convertido en la prioridad de ataque de los ciberdelincuentes.

Patrones compartidos de los tres casos:

Los atacantes se disfrazan como proveedores legítimos de herramientas de IA (paquetes PyPI, modelos de HuggingFace, y un exploit de vulnerabilidad para fabricación de IA)

El objetivo es el grupo “Web3 y desarrolladores de IA” que cuenta con tokens de alto privilegio, carteras de cifrado y cuentas en la nube

Ruta de lavado/robo rápida—el caso de Hugging Face registró 244 mil descargas en 18 horas, lo que indica una expansión acelerada del alcance afectado

Mecanismos de revisión insuficientes en grandes plataformas (PyPI, HuggingFace) para identificar en tiempo real proyectos falsificados

Para desarrolladores de criptomonedas y Web3, estos eventos refuerzan la amenaza de “ingeniería social + 6 meses de acecho” mencionada en el reporte de “2025 Corea del Norte hackers robó 2.06 mil millones de dólares” publicado por CertiK esa misma semana—en 2026, los atacantes ya no necesitan hackear directamente intercambios; solo contaminando los paquetes de código abierto que usan los desarrolladores pueden obtener de forma indirecta las llaves y fondos correspondientes.

Acciones prácticas de defensa para desarrolladores individuales: verificar firmas y el editor antes de instalar paquetes; usar una máquina virtual independiente para ejecutar los modelos de IA recién descargados; rotar periódicamente las llaves (API) de los intercambios; no almacenar las seed phrases de carteras cripto en dispositivos conectados. A nivel de equipo, se necesita establecer “SBOM (software bill of materials)” y un proceso de firma de la cadena de suministro.

Entre los eventos que se pueden rastrear a continuación están: resultados de la investigación sobre la intrusión en dispositivos internos de Mistral, si Hugging Face introduce mecanismos más estrictos para revisar las tendencias del ranking, y la información de seguimiento de otros proyectos de modelos maliciosos revelados por los 7 de HiddenLayer (incluyendo versiones falsificadas de Qwen3 y DeepSeek).

Este artículo: Ataques dobles a la cadena de suministro de paquetes de IA: Mistral y el modelo falso de OpenAI fueron comprometidos por igual. Aparece por primera vez en Cadena Noticiosa ABMedia.