5月12日，微软威胁情报团队发布警告，AI公司Mistral AI的PyPI包2.4.6版本遭到入侵，攻击者在mistralai/client/__init__.py中植入恶意代码。一旦开发人员安装该包，恶意代码将执行，并从hxxps://83[.]142[.]209[.]194下载第二阶段载荷transformers.pyz。微软认为，该载荷的文件名可能模仿广泛使用的Hugging Face Transformers库，以渗透机器学习开发环境。

此次攻击主要针对Linux开发环境，最终载荷为窃密程序。值得注意的是，该恶意软件在不同国家会表现出不同行为：若受害主机位于俄语国家，载荷将停止运行；若位于以色列或伊朗，载荷有六分之一的概率执行rm -rf /命令进行破坏。微软建议开发人员立即隔离受影响的Linux主机，封锁攻击者使用的IP地址83[.]142[.]209[.]194，并检查主机是否存在/tmp/transformers.pyz、pgmonitor.py和pgsql-monitor.service文件，同时轮换可能已泄露的凭证。