AIパッケージのサプライチェーンが二重攻撃：Mistralと偽のOpenAIモデルが共に侵入される

AI 開発者ツールのエコシステム——5月12日に同日に報じられた2件の重大なサプライチェーン攻撃：（1）Microsoft Threat Intelligence が Mistral AI の PyPI パッケージに悪意のあるコードが仕込まれていたことを開示；（2）偽の OpenAI を名乗る Hugging Face のモデルプロジェクトがトレンド1位に駆け上がり、18時間以内に24.4万回のダウンロードを集め、大量のアカウント情報とパスワードを窃取した。Decrypt の報道によれば、2件の出来事はいずれも、AI 開発者エコシステムがサプライチェーンへの侵入に対して脆弱であることを露呈した。

目次

切り替え

Mistral AI パッケージ事案：Hugging Face Transformers の名称を装った二段階攻撃

偽 OpenAI Hugging Face 案：6段階の Rust で書かれた infostealer

産業的な意味：AI サプライチェーンが新たな攻撃面に

Mistral AI パッケージ事案：Hugging Face Transformers の名称を装った二段階攻撃

Mistral AI の PyPI パッケージ（Python パッケージ管理ツール）が悪意のあるコードを埋め込まれていたことが判明し、Microsoft Threat Intelligence が5月12日に X で公開して明らかにした：

影響範囲：mistralai の PyPI パッケージ v2.4.6

発火方法：Linux システムでパッケージをインポートすると自動実行

第2段階の payload：リモートサーバーから transformers.pyz をダウンロードし、バックグラウンドで実行

命名の罠：transformers.pyz は、Hugging Face の人気 Transformers ライブラリの名称を意図的に模倣

実際の機能：開発者のログイン認証情報、access token の窃取；一部のシステムでは、ランダムに、イスラエルまたはイランの IP 範囲内にあるファイルを削除する事象が発生

Mistral は5月13日にこのサプライチェーン攻撃を確認したが、「Mistral のインフラは侵害されておらず、攻撃の起点は影響を受けた開発者の端末である」と強調した。攻撃は、広義の Shai-Hulud 型マルウェア系列（2025年9月から活動が活発化、npm と PyPI のオープンソースパッケージのサプライチェーンを狙う）に分類される。

偽 OpenAI Hugging Face 案：6段階の Rust で書かれた infostealer

同時期に、AI モデルプラットフォームの Hugging Face で「Open-OSS/privacy-filter」という偽のモデルプロジェクトが登場し、OpenAI が4月に公開した Privacy Filter モデルを意図的に模倣していた：

累計ダウンロード：18時間で24.4万回

累計いいね：667件（うち657件は疑わしいボットアカウントによるもの）

人気ランキング：かつて Hugging Face のトレンド榜で1位に到達

発火コマンド：ユーザーに _start.bat（Windows）または loader.py（Linux／Mac）の実行を勧める

実際の動作：6段階の Rust で書かれた infostealer が、以下のデータを窃取：

— Chrome／Firefox ブラウザのパスワードと Cookie

— Discord token

— 暗号資産ウォレットのシードフレーズ

— SSH と FTP の認証情報

— すべての画面のスクリーンショット

このモデルプロジェクトは AI セキュリティ企業 HiddenLayer が暴露し、Hugging Face は同プロジェクトを削除した。同時期に HiddenLayer は、同様の悪意あるモデルプロジェクトを7件特定しており、一部は Qwen3 や DeepSeek など、ほかの人気 AI モデルを模倣していた。

産業的な意味：AI サプライチェーンが新たな攻撃面に

関連ニュースのまとめ：今週同時に明らかにされた3件の AI 関連サプライチェーン事案——Mistral の PyPI、偽の OpenAI HuggingFace、そして Google が5/11に開示した AI 製造のゼロデイ脆弱性の案件——は、AI 開発者のエコシステムが、ハッカーにとって優先度の高い攻撃面になっていることを示している。

3件の共通パターン：

攻撃者が正規の AI ツール提供者を装う（PyPI パッケージ、HuggingFace のモデル、AI 製造の脆弱性悪用プログラム）

目標は「Web3 と AI 開発者」という、高権限 token、暗号資産ウォレット、クラウドアカウントを持つ層

マネーロンダリング／窃取の経路が迅速——Hugging Face 案は18時間で24.4万回のダウンロードを記録し、影響範囲の拡大が速いことを示した

大手プラットフォーム（PyPI、HuggingFace）の審査メカニズムが、偽装プロジェクトを即時に見抜くには不足している

暗号資産と Web3 の開発者にとって、これらの出来事は CertiK が同週に公表した「2025 北朝鮮ハッカーが 20.6 億ドルを盗んだ」報告書で言及された「ソーシャルエンジニアリング + 6か月潜伏」の脅威を強化する——2026年の攻撃者は、取引所を直接ハックする必要がなくなり、開発者が使うオープンソースのパッケージを汚染するだけで、対応する鍵と資金を間接的に手に入れられるようになる。

個人開発者のための実務的な防御アクション：パッケージをインストールする前に署名と発行元を検証する、ダウンロードした AI モデルを別の仮想マシンで実行する、取引所の API キーを定期的にローテーションする、暗号資産ウォレットのシードフレーズをネットワーク接続されている端末に保存しない。チームレベルでは「SBOM（ソフトウェア物品台帳）」とサプライチェーンの署名プロセスを構築する必要がある。

今後追跡できる事案には、Mistral の社内端末侵害調査結果、Hugging Face がより厳格なトレンド榜の審査メカニズムを導入するかどうか、そして HiddenLayer が暴露した7件のほかの悪意あるモデルプロジェクト（Qwen3、DeepSeek の偽装版を含む）に関する続報が含まれる。

この記事 AI パッケージのサプライチェーンにおける2件の攻撃：Mistral と偽 OpenAI モデルがいずれも侵入される —— 最初に ChainNews ABMedia に掲載された。