系開發者工具生態 5 月 12 日 cùng ngày đồng thời xuất hiện 2 vụ tấn công chuỗi cung ứng nghiêm trọng: (1) Microsoft Threat Intelligence tiết lộ gói PyPI của Mistral AI bị cài mã độc; (2) một dự án mô hình Hugging Face giả mạo OpenAI leo lên bảng hot ở vị trí số 1, trong 18 giờ thu hút 244 nghìn lượt tải và đánh cắp hàng loạt thông tin đăng nhập. Theo Decrypt, cả 2 sự kiện đều phơi bày tính dễ tổn thương của hệ sinh thái phát triển AI trước nạn xâm nhập chuỗi cung ứng.
Table of Contents
Toggle
Vụ gói Mistral AI: tấn công 2 giai đoạn giả mạo tên Hugging Face Transformers
Vụ Hugging Face OpenAI giả: infostealer viết bằng Rust theo 6 giai đoạn
Ý nghĩa ngành: chuỗi cung ứng AI trở thành bề mặt tấn công mới
Vụ gói Mistral AI: tấn công 2 giai đoạn giả mạo tên Hugging Face Transformers
Gói PyPI của Mistral AI (trình quản lý gói Python) bị nhúng mã độc, được Microsoft Threat Intelligence ngày 12/5 công khai tiết lộ trên X:
Phạm vi bị ảnh hưởng: gói mistralai PyPI v2.4.6
Cách kích hoạt: khi hệ thống Linux nhập gói sẽ tự động thực thi
Payload giai đoạn 2: tải xuống transformers.pyz từ máy chủ từ xa và chạy ngầm
Bẫy tên: transformers.pyz cố ý bắt chước tên thư viện Transformers phổ biến của Hugging Face
Chức năng thực sự: đánh cắp thông tin đăng nhập của nhà phát triển, access token; một số hệ thống còn tự động xóa ngẫu nhiên các tệp nằm trong dải IP thuộc Israel hoặc Iran
Mistral ngày 13/5 xác nhận cuộc tấn công chuỗi cung ứng này, nhưng nhấn mạnh “cơ sở hạ tầng của Mistral không bị xâm nhập, cuộc tấn công xuất phát từ một thiết bị của nhà phát triển bị ảnh hưởng”. Cuộc tấn công thuộc nhóm phần mềm độc Shai-Hulud theo nghĩa rộng (hoạt động từ tháng 9/2025, nhắm vào chuỗi cung ứng mã nguồn mở của npm và PyPI).
Vụ Hugging Face OpenAI giả: infostealer viết bằng Rust theo 6 giai đoạn
Cùng thời điểm, nền tảng mô hình AI Hugging Face xuất hiện dự án mô hình giả mạo có tên “Open-OSS/privacy-filter”, cố ý mô phỏng mô hình Privacy Filter do OpenAI công bố hồi tháng 4:
Lượt tải tích lũy: trong 18 giờ đạt 244 nghìn lượt
Lượt thích tích lũy: 667 lượt (trong đó 657 lượt bị nghi là tài khoản bot)
Xếp hạng thịnh hành: từng vươn lên vị trí số 1 trên bảng xu hướng Hugging Face
Lệnh kích hoạt: khuyến nghị người dùng chạy _start.bat (Windows) hoặc loader.py (Linux/Mac)
Hành vi thực tế: infostealer viết bằng Rust theo 6 giai đoạn, đánh cắp các dữ liệu sau:
— Mật khẩu và Cookie của trình duyệt Chrome/Firefox
— Discord token
— Cụm từ khôi phục (seed phrase) ví tiền mã hóa
— Thông tin xác thực SSH và FTP
— Ảnh chụp màn hình của mọi màn hình
Dự án mô hình này bị công ty an toàn AI HiddenLayer phát hiện; Hugging Face đã gỡ xuống. Cùng lúc, HiddenLayer cũng nhận diện 7 dự án mô hình độc hại tương tự, một phần giả mạo các mô hình AI nổi tiếng khác như Qwen3 và DeepSeek.
Ý nghĩa ngành: chuỗi cung ứng AI trở thành bề mặt tấn công mới
Chuỗi tin đáng chú ý: trong tuần này đồng thời bị phanh phui 3 sự kiện liên quan đến chuỗi cung ứng AI—Mistral PyPI, giả OpenAI HuggingFace, và vụ lộ lỗ hổng zero-day do Google công bố ngày 11/5 về AI sản xuất—cho thấy hệ sinh thái phát triển AI đã trở thành ưu tiên tấn công của tin tặc.
Mẫu hình chung của 3 vụ việc:
Kẻ tấn công giả mạo nhà cung cấp công cụ AI hợp pháp (gói PyPI, mô hình HuggingFace, và chương trình khai thác lỗ hổng trong AI sản xuất)
Nhắm vào nhóm “Web3 và nhà phát triển AI” là những người có token đặc quyền cao, ví mã hóa, tài khoản đám mây
Đường rửa tiền/chiếm đoạt diễn ra nhanh—vụ Hugging Face chỉ trong 18 giờ đạt 244 nghìn lượt tải, cho thấy phạm vi ảnh hưởng bùng nổ nhanh
Cơ chế kiểm duyệt của các nền tảng lớn (PyPI, HuggingFace) không đủ để nhận diện giả mạo kịp thời
Với các nhà phát triển crypto và Web3, các sự kiện này củng cố mối đe dọa “social engineering + 6 tháng ẩn nấp” mà báo cáo “2025 Triều Tiên hacker đánh cắp 2,06 tỷ USD” do CertiK công bố cùng tuần có đề cập—kẻ tấn công năm 2026 không cần phải tấn công trực tiếp sàn giao dịch, chỉ cần làm “bẩn” các gói mã nguồn mở mà nhà phát triển dùng, là có thể gián tiếp lấy được các khóa và quỹ tương ứng.
Các biện pháp phòng thủ thực tiễn cho nhà phát triển cá nhân: trước khi cài gói cần kiểm tra chữ ký và nhà phát hành; dùng máy ảo độc lập để chạy mô hình AI vừa tải về; định kỳ luân chuyển khóa API của sàn; không lưu seed phrase ví mã hóa trên thiết bị có kết nối mạng. Ở cấp độ đội nhóm thì cần thiết lập “SBOM (danh mục vật liệu phần mềm)” và quy trình ký kết chuỗi cung ứng.
Các sự kiện có thể tiếp tục theo dõi gồm: kết quả điều tra xâm nhập thiết bị nội bộ của Mistral, liệu Hugging Face có áp dụng cơ chế kiểm duyệt chặt hơn cho bảng xu hướng hay không, và dữ liệu tiếp theo về các dự án mô hình độc hại khác bị HiddenLayer vạch trần (bao gồm cả phiên bản giả mạo của Qwen3, DeepSeek).
Bài viết: Hai vụ tấn công chuỗi cung ứng gói AI: Mistral và mô hình OpenAI giả đều bị thâm nhập. Lần đầu xuất hiện tại Chuỗi tin ABMedia.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
