🗓️ Contexte

Source : BleepingComputer, publié le 14 mai 2026. L’article rapporte une tentative d’extorsion par le groupe cybercriminel TeamPCP à l’encontre de Mistral AI, société française spécialisée dans les grands modèles de langage (LLM).

🎯 Incident

L’attaque s’inscrit dans le cadre de l’opération Mini Shai-Hulud, une attaque de la chaîne d’approvisionnement logicielle qui a débuté par la compromission de packages officiels de TanStack et Mistral AI via des identifiants CI/CD volés et des workflows légitimes détournés.

L’attaque s’est ensuite propagée à des centaines de projets sur les registres npm et PyPI, touchant notamment :

  • UiPath
  • Guardrails AI
  • OpenSearch
  • OpenAI (deux employés impactés)

💾 Données volées et demande de rançon

TeamPCP revendique le vol de près de 5 gigaoctets de données comprenant :

  • Dépôts internes et code source (~450 repositories)
  • Ressources liées à l’entraînement, au fine-tuning, au benchmarking, à la livraison de modèles et à l’inférence

Les hackers demandent 25 000 $ (BIN) et menacent de publier gratuitement les données sur des forums si aucun acheteur n’est trouvé dans un délai d’une semaine. Le prix est décrit comme négociable.

🔍 Réponse de Mistral AI

Mistral AI a confirmé à BleepingComputer que :

  • Des packages SDK ont été contaminés temporairement
  • La compromission est survenue après qu’un appareil développeur a été impacté par l’attaque TanStack
  • Les données compromises ne font pas partie des dépôts de code principaux
  • Les services hébergés, les données utilisateurs gérées et les environnements de recherche n’ont pas été compromis

🏢 Impact sur OpenAI

OpenAI a également confirmé que l’attaque TanStack a impacté les systèmes de deux employés ayant accès à un sous-ensemble limité de dépôts de code source internes. Un petit ensemble d’identifiants a été volé, sans preuve d’utilisation ultérieure. OpenAI a procédé à la rotation des certificats de signature de code et a alerté les utilisateurs macOS de mettre à jour leurs applications avant le 12 juin.

📰 Type d’article

Cet article est une annonce d’incident combinant la divulgation d’une tentative d’extorsion et les déclarations officielles des entreprises victimes, destiné à informer la communauté cybersécurité sur l’étendue de l’attaque supply-chain Mini Shai-Hulud.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1586 — Compromise Accounts (Resource Development)
  • T1657 — Financial Theft (Impact)
  • T1537 — Transfer Data to Cloud Account (Exfiltration)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 3255 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : TeamPCP (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/teampcp-hackers-advertise-mistral-ai-code-repos-for-sale/

🖴 Archive : https://web.archive.org/web/20260518074640/https://www.bleepingcomputer.com/news/security/teampcp-hackers-advertise-mistral-ai-code-repos-for-sale/