Alerta por el gusano Mini Shai-Hulud que compromete múltiples paquetes
Publicado el
Compromiso de paquetes en un ataque de cadena de suministro
El Mini Shai-Hulud, un nuevo gusano, ha sido vinculado a un ataque de cadena de suministro que afecta a diversos paquetes de npm y PyPI. Entre los afectados se encuentran TanStack, UiPath, Mistral AI, OpenSearch y Guardrails AI. Este ataque es parte de una reciente campaña orquestada por el grupo de amenazas PCP.
Los paquetes de npm comprometidos han sido alterados para incluir un archivo JavaScript ofuscado llamado router_init.js, diseñado para perfilar el entorno de ejecución y lanzar un robador de credenciales. Este malware tiene la capacidad de dirigirse a proveedores de cloud, billeteras de criptomonedas, herramientas de IA, aplicaciones de mensajería y sistemas de CI, como GitHub Actions, Aikido Security, Endor Labs, SafeDep, Socket, y StepSecurity. La información robada se exfiltra al dominio filev2.getsession[.]org, que utiliza una infraestructura de Session Protocol para eludir la detección en entornos empresariales.
Técnicas de evasión y persistencia
Los atacantes han implementado un método astuto al almacenar los datos cifrados en repositorios controlados por ellos, utilizando el nombre de autor claude@users.noreply.github.com mediante la API GraphQL de GitHub con los tokens robados. Además, el malware establece ganchos de persistencia en Claude Code y Microsoft Visual Studio Code (VS Code) para sobrevivir a reinicios y reejecutar el robador en cada inicio de los IDEs. También se instala un servicio de monitorización de tokens de GitHub y se inyectan dos flujos de trabajo maliciosos en GitHub Actions para serializar secretos de repositorio y subir los datos a un servidor externo.
TanStack ha rastreado el compromiso hasta un ataque encadenado de GitHub Actions que involucra el disparador pull_request_target, la intoxicación de caché de GitHub Actions y la extracción de memoria en tiempo de ejecución de un token OIDC del proceso de ejecución de GitHub Actions. A pesar de esto, TanStack ha confirmado que no se robaron tokens de npm y que el flujo de trabajo de publicación de npm no fue comprometido.
Propagación y evaluación de riesgos
Los atacantes parecen haber preparado la carga maliciosa en un fork de GitHub, inyectándola en los tarballs publicados de npm y luego secuestraron el flujo de trabajo legítimo de TanStack/router para publicar las versiones comprometidas con una validez de SLSA. Lo que distingue a este gusano es su capacidad de propagarse a otros paquetes al localizar un token npm publicable con bypass_2fa establecido en verdadero. Luego, enumera todos los paquetes publicados por el mismo mantenedor y canjea un token OIDC de GitHub por un token de publicación por paquete, evitando completamente la autenticación tradicional.
Este compromiso en la cadena de suministro de TanStack ha sido asignado el identificador CVE-2026-45321, con una puntuación de CVSS de 9.6 sobre 10, indicando una severidad crítica. El incidente ha impactado a 42 paquetes y 84 versiones en todo el ecosistema de TanStack. Investigadores de StepSecurity han señalado que el ataque publicó versiones maliciosas a través del propio pipeline de liberación de GitHub Actions del proyecto, utilizando tokens OIDC secuestrados.
Además de TanStack, la campaña de Mini Shai-Hulud se ha extendido a otros paquetes, incluidos algunos en PyPI como guardrails-ai@0.10.1 y mistralai@2.4.6. El paquete mistralai se ha diseñado para descargar un robador de credenciales desde un servidor remoto, evitando entornos de lengua rusa y ejecutando una rama destructiva en sistemas en Israel o Irán.
La amenaza continúa propagándose tanto en npm como en PyPI, afectando a paquetes de infraestructura de búsqueda, herramientas de IA, y ecosistemas de automatización empresarial. Este ataque resalta la importancia de la seguridad en la cadena de suministro y la necesidad de implementar medidas robustas para prevenir compromisos similares.