EquipoPCPel actor de amenazas detrás del reciente La ola de ataques a la cadena de suministro se ha relacionado con el compromiso de los paquetes npm y PyPI de TanStack, UiPath, Mistral AI, OpenSearch y Guardrails AI como parte de una nueva campaña Mini Shai-Hulud.
Los paquetes npm afectados se han modificado para incluir un archivo JavaScript ofuscado («router_init.js») que está diseñado para perfilar el entorno de ejecución y lanzar un ladrón de credenciales integral capaz de apuntar a proveedores de nube, billeteras de criptomonedas, herramientas de inteligencia artificial, aplicaciones de mensajería y sistemas de CI, incluidas Github Actions. Seguridad del Aikido, Laboratorios Endor, SafeDep, Enchufey PasoSeguridad dicho. Los datos se extraen al archivo «filev2.getsession».[.]dominio «org».
El uso de la infraestructura del protocolo de sesión es un intento deliberado por parte de los atacantes de evadir la detección, ya que es poco probable que el dominio sea bloqueado dentro de entornos empresariales, dado que pertenece a un servicio de mensajería descentralizado y centrado en la privacidad. Como opción alternativa, los datos cifrados se envían a repositorios controlados por el atacante con el nombre de autor «claude@users.noreply.github.com» a través de la API GitHub GraphQL utilizando los tokens de GitHub robados.
El malware también es capaz de establecer ganchos de persistencia en Claude Code y Microsoft Visual Studio Code (VS Code) para sobrevivir a los reinicios y volver a ejecutar el ladrón en cada inicio de los IDE.
Además, instala un servicio gh-token-monitor para monitorear y volver a filtrar tokens de GitHub, e inyecta dos flujos de trabajo de GitHub Actions maliciosos para serializar los secretos del repositorio en un objeto JSON y cargar los datos en un servidor externo («api.masscan[.]nube»).
TanStack ha desde entonces rastreado el compromiso de un ataque encadenado de GitHub Actions que involucra el disparador «pull_request_target», Envenenamiento de caché de acciones de GitHuby extracción de memoria en tiempo de ejecución de un token OIDC del proceso de ejecución de GitHub Actions. «No se robaron tokens de npm y el flujo de trabajo de publicación de npm en sí no se vio comprometido», dijo TanStack.
Específicamente, se evalúa que los atacantes organizaron la carga útil maliciosa en una bifurcación de GitHub, la inyectaron en archivos tar npm publicados y luego secuestraron el flujo de trabajo legítimo «TanStack/router» del proyecto para publicar las versiones comprometidas con procedencia SLSA válida.
Lo que hace que el gusano se destaque es su capacidad para propagarse a otros paquetes localizando un token npm publicable con bypass_2fa configurado en verdadero, enumerando cada paquete publicado por el mismo mantenedor e intercambiando un token OIDC de GitHub por un token de publicación por paquete para eludir por completo la autenticación tradicional.
Al compromiso de la cadena de suministro de TanStack se le ha asignado el identificador CVE CVE-2026-45321. Tiene una puntuación CVSS de 9,6 sobre un máximo de 10,0, lo que indica una gravedad crítica. El incidente afectó a 42 paquetes y 84 versiones en todo el ecosistema de TanStack.
«El ataque publicó versiones maliciosas a través del proceso de lanzamiento de GitHub Actions del proyecto utilizando tokens OIDC secuestrados», dijo el investigador de StepSecurity Ashish Kurmi.
«En una escalada extremadamente rara, los paquetes comprometidos llevan certificaciones de procedencia SLSA Build Nivel 3 válidas, lo que lo convierte en el primer gusano npm documentado que produce paquetes maliciosos validados. Desde entonces, el gusano se ha extendido más allá de TanStack a paquetes de UiPath, DraftLab y otros mantenedores».
Además de TanStack, la campaña Mini Shai-Hulud también se ha extendido a varios otros paquetes, incluidos algunos en PyPI.
- barandillas-ai@0.10.1 (PyPI)
- mistralai@2.4.6 (PyPI)
- @opensearch-project/opensearch@3.5.3, 3.6.2, 3.7.0 y 3.8.0
- @graznido/mcp@0.9.5
- @graznido/clima@0.5.10
- @graznido/plan de vuelo@0.5.6
- @tallyui/connector-medusa@1.0.1, 1.0.2 y 1.0.3
- @tallyui/connector-vendure@1.0.1, 1.0.2 y 1.0.3
Microsoft, en su análisis del paquete malicioso PyPI mistralai, dijo que está diseñado para descargar un ladrón de credenciales desde un servidor remoto («83.142.209[.]194») que incluye una lógica consciente del país para evitar entornos en idioma ruso y una «rama destructiva geocercada que tiene una probabilidad de 1 entre 6 de ejecutar rm -rf / cuando el sistema parece estar en Israel o Irán».
«El compromiso guardrails-ai@0.10.1 es especialmente notable porque el código malicioso se ejecuta al importar», dijo Socket. «El paquete busca sistemas Linux, descarga un artefacto Python remoto desde https://git-tanstack.com/transformers.pyz, lo escribe en /tmp/transformers.pyz y lo ejecuta con python3 sin verificación de integridad».
«Esta última actividad muestra que la campaña continúa propagándose tanto en npm como en PyPI, con paquetes afectados que abarcan infraestructura de búsqueda, herramientas de inteligencia artificial, paquetes de desarrolladores relacionados con la aviación, automatización empresarial, herramientas de interfaz y ecosistemas adyacentes a CI/CD».
