在2026年5月11日,一次協調的供應鏈攻擊使超過170個npm包和2個PyPI包受到影響。總共達到404個惡意版本。這次大規模行動同時瞄準了一些在開源AI生態系統中使用最廣泛的項目。

負責的黑客組織TeamPCP利用維護者的配置錯誤和GitHub Actions的漏洞成功劫持了AI項目的合法發佈管道。結果:感染的包具有有效簽名,與合法版本無法區分。但這並不是最令人擔憂的情況。

這個惡意檔案的名稱 transformers.pyz,看起來是故意選擇的,目的是模仿 Hugging Face Transformers 框架。後者在 AI 環境中被廣泛使用。PyPI 已經將 Mistral AI 專案隔離。

$ETH

$BNB

$XRP