**Mistral AI**, une entreprise française d'intelligence artificielle connue pour ses modèles linguistiques larges (LLM) open-weight, a confirmé une violation de sécurité suite à l'attaque de la chaîne d'approvisionnement logicielle **Mini Shai-Hulud**. L'incident, qui a initialement ciblé les packages **TanStack**, a maintenant touché **Mistral AI**, entraînant une fuite potentielle de code source. ### Codebase compromis Selon **Mistral AI**, la violation provenait d'une compromission des packages officiels de **TanStack** et **Mistral AI** via des identifiants CI/CD volés et des flux de travail légitimes. Cette attaque s'est ensuite propagée à de nombreux autres projets logiciels sur les registres npm et PyPI, notamment **UiPath**, **Guardrails AI** et **OpenSearch**. « Ils [les pirates] ont contaminé certains de nos packages SDK pendant une courte période », a déclaré l'entreprise. ### Les exigences de TeamPCP **TeamPCP** affirme avoir exfiltré près de 5 gigaoctets de dépôts internes et de code source cruciaux pour les processus d'entraînement, de fine-tuning, de benchmarking, de livraison de modèles et d'inférence de **Mistral**. Les pirates exigent 25 000 $ pour les données, menaçant de les publier publiquement si un acheteur n'est pas trouvé dans un délai d'une semaine. « Nous cherchons 25k BIN ou ils peuvent payer cela et nous allons les détruire définitivement, ne vendant qu'à la meilleure offre et limité à une personne, si nous ne trouvons pas d'acheteur dans la semaine, nous allons tout divulguer gratuitement sur les forums », ont annoncé les pirates.  **Les pirates de TeamPCP proposent de vendre des données de Mistral AI** *source : KELA* ### La réponse de Mistral AI **Mistral AI** a reconnu que **TeamPCP** avait réussi à compromettre certains de ses packages de kit de développement logiciel (SDK). Dans un avis récent, l'entreprise a attribué la violation à un appareil de développeur affecté par l'attaque de la chaîne d'approvisionnement **TanStack**. Cependant, **Mistral** affirme que son enquête médico-légale indique que les données compromises ne faisaient pas partie des dépôts de code principaux. « Ni nos services hébergés, ni les données des utilisateurs gérées, ni aucun de nos environnements de recherche et de test n'ont été compromis », a précisé **Mistral**. ### OpenAI également touché Dans l'actualité connexe, **OpenAI** a également confirmé que l'attaque de la chaîne d'approvisionnement **TanStack** avait touché des systèmes appartenant à deux de ses employés qui avaient accès à « un sous-ensemble limité de dépôts de code source internes ». Un petit ensemble d'identifiants a été volé, mais il n'y a aucune preuve d'exploitation supplémentaire. **OpenAI** a depuis fait pivoter les certificats de signature de code compromis dans l'incident et a exhorté les utilisateurs de macOS à mettre à jour leurs applications de bureau **OpenAI** avant le 12 juin pour éviter les interruptions de service. ## Le fossé de la validation : le pentesting automatisé répond à une question. Vous en avez besoin de six. Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. Télécharger maintenant