Xinference : encore un paquet PyPI verolé qui vole vos secrets en silence
Les versions 2.6.0, 2.6.1 et 2.6.2 de Xinference, bibliothèque Python populaire permettant aux développeurs de basculer entre différents modèles d'IA open source en une seule ligne de code, ont été compromises sur PyPI, le dépôt officiel des paquets Python. L'attaque a été détectée par un utilisateur puis analysée par les chercheurs de JFrog, entreprise spécialisée en cybersécurité. Ce ne sont pas de faux paquets ou des variantes orthographiques trompeuses qui ont été mis en ligne : ce sont bien les paquets officiels de Xinference qui ont été infectés par des trojans. Le code malveillant, dissimulé en base64 dans le fichier init.py, s'exécute dès l'import de la bibliothèque, sans aucune interaction de l'utilisateur. Une fois lancé, il cible méthodiquement clés SSH et TLS privées, identifiants Git, secrets AWS, fichiers .env, configurations de messagerie, de bases de données, de Docker, Kubernetes, VPN, jetons de gestionnaires de paquets et portefeuilles de cryptomonnaies, le tout compressé dans une archive sobrement nommée love.tar.gz et exfiltré via une requête POST vers un serveur externe. Dans le cas d'AWS, le malware va plus loin : il se connecte directement au compte Amazon avec les clés volées pour y dérober d'autres secrets avant de les transmettre, grâce à une fonction baptisée def aws_req. JFrog avertit sans ambiguïté : quiconque a installé l'une de ces trois versions doit considérer que sa machine est compromise. La dernière version saine est la 2.5.0, mais les versions piégées restent accessibles dans l'historique PyPI.
L'impact potentiel est considérable. Xinference est utilisée par des développeurs qui expérimentent ou déploient des modèles d'IA localement ou dans le cloud, un profil qui correspond à des équipes techniquement avancées disposant souvent d'accès à des infrastructures cloud, des dépôts de code privés et des environnements de production. Le vol de clés AWS ou de secrets d'environnement ne se limite pas à une compromission de la machine locale : il ouvre la porte à des attaques en cascade sur des systèmes entiers, des bases de données, voire des pipelines CI/CD. La nature automatique et silencieuse de l'exfiltration, rendue possible par la désactivation des sorties standard et d'erreur via un sous-processus Python, signifie que la plupart des victimes n'ont aucun moyen de détecter l'intrusion au moment où elle se produit.
Cette attaque s'inscrit dans une série inquiétante visant spécifiquement l'écosystème des outils d'IA. En mars 2026, c'était Trivy, scanner de vulnérabilités, puis LiteLLM et Axios qui avaient été ciblés. JFrog attribue l'offensive contre Xinference au même groupe, TeamPCP, en s'appuyant sur la structure du code et les similitudes techniques avec les attaques précédentes, même si le compte X du groupe dément. La méthode reste inconnue : les mainteneurs de Xinference ont simplement confirmé l'attaque et retiré les versions corrompues sans expliquer comment les paquets officiels ont pu être modifiés. Cette opacité complique la réponse de la communauté et illustre les failles persistantes dans la chaîne d'approvisionnement logicielle open source, où la compromission d'un compte de mainteneur ou d'un pipeline de publication suffit à transformer un outil de confiance en vecteur d'attaque massif.
Les développeurs européens ayant installé Xinference 2.6.0–2.6.2 doivent considérer leur environnement comme compromis et procéder immédiatement à la rotation de tous leurs secrets cloud, clés SSH et tokens d'accès.
