TeamPCP, el actor de amenazas detrás de los recientes ataques a la cadena de suministro, ha estado implicado en comprometer paquetes npm y PyPI para TanStack, UiPath, Mistral AI, OpenSearch y Guardrails AI como parte de una nueva campaña Mini Shai-Hulud.
Los paquetes npm afectados se han modificado para incluir un archivo JavaScript ofuscado (‘router_init.js’) diseñado para perfilar el entorno de ejecución y lanzar un ladrón de credenciales integral que puede apuntar a proveedores de nube, billeteras de criptomonedas, herramientas de inteligencia artificial, aplicaciones de mensajería y sistemas de CI, incluidas Github Actions. Múltiples informes de Aikido Security, Endor Labs, SafeDep, Socket, StepSecurity y Snyk lo demuestran. Los datos se extraen al dominio «filev2.getsession(.)org».
El uso de la infraestructura del protocolo de sesión es un intento deliberado por parte del atacante de evadir la detección, ya que es poco probable que sea bloqueado dentro de un entorno empresarial, dado que el dominio pertenece a un servicio de mensajería descentralizado y centrado en la privacidad. Como opción alternativa, los datos cifrados se envían a un repositorio controlado por un atacante con el nombre de autor «claude@users.noreply.github.com» a través de la API GitHub GraphQL utilizando un token de GitHub robado.
El malware también puede establecer ganchos de persistencia en Claude Code y Microsoft Visual Studio Code (VS Code) para sobrevivir a los reinicios y volver a ejecutar el ladrón cada vez que se inicia el IDE.
Además, instala el servicio gh-token-monitor para monitorear y volver a extraer tokens de GitHub, e inyecta dos flujos de trabajo de GitHub Actions maliciosos para serializar los secretos del repositorio en objetos JSON y cargar los datos a un servidor externo (‘api.masscan(.)cloud’).
A diferencia de las oleadas anteriores de SAP, donde los paquetes comprometidos agregaban ganchos de preinstalación que desencadenaban secuencias de infección, los últimos clústeres de TanStack emplean una estrategia diferente al incluir archivos JavaScript dentro del paquete tarball y agregar una dependencia opcional que apunta a un paquete alojado en GitHub. La dependencia de GitHub incluye un enlace de ciclo de vida de preparación que ejecuta la carga útil de JavaScript a través del tiempo de ejecución de Bun.
La actualización del paquete Mistral AI, por otro lado, sigue el enfoque anterior, reemplazando el contenido del archivo ‘package.json’ con un gancho de preinstalación que llama ‘node setup.mjs’, que descarga Bun y ejecuta el mismo malware JavaScript.
Luego, TanStack rastreó el compromiso a través de un ataque encadenado de GitHub Actions que incluía un disparador «pull_request_target», envenenamiento de la caché de GitHub Actions y extracción de memoria en tiempo de ejecución de tokens OIDC del proceso de ejecución de GitHub Actions. «No se robaron tokens de npm y el flujo de trabajo de publicación de npm en sí no se vio comprometido», dijo TanStack.
Específicamente, se considera que los atacantes organizaron una carga útil maliciosa a través de una confirmación huérfana en una bifurcación de GitHub, la inyectaron en un tarball npm publicado y luego secuestraron el flujo de trabajo legítimo «TanStack/router» del proyecto para publicar una versión comprometida con procedencia SLSA válida.
Este ataque destaca por el hecho de que explota la publicación confiable. Esto permite que el código controlado por el atacante que se ejecuta dentro de un flujo de trabajo aproveche los permisos OIDC para «acuñar» tokens de publicación de corta duración durante las compilaciones y usarlos para publicar paquetes sin robar el token npm.
El gusano se caracteriza por su capacidad de propagarse a otros paquetes configurando bypass_2fa en verdadero para encontrar tokens npm publicables, enumerando todos los paquetes publicados por el mismo mantenedor e intercambiando tokens OIDC de GitHub por tokens públicos por paquete, evitando por completo la autenticación tradicional.
«El compromiso huérfano desencadenó más ejecuciones de flujo de trabajo de GitHub Actions contra la superficie de flujo de trabajo legítima de TanStack/Router», dijo Peyton Kennedy, investigador de Endor Labs. «La configuración del editor confiable OIDC del repositorio otorgaba confianza a nivel del repositorio, en lugar de limitarse a ramas protegidas y archivos de flujo de trabajo específicos, por lo que las ejecuciones de flujo de trabajo desencadenadas por esa confirmación podrían solicitar un token de publicación npm válido de corta duración».
A la violación de la cadena de suministro de TanStack se le ha asignado el identificador CVE CVE-2026-45321. La puntuación CVSS es 9,6 sobre un máximo de 10,0, lo que indica una gravedad crítica. Este incidente afectó a 42 paquetes y 84 versiones en todo el ecosistema TanStack.
«En este ataque, se utilizó un token OIDC secuestrado para publicar una versión maliciosa a través del proceso de lanzamiento de GitHub Actions del proyecto», dijo el investigador de StepSecurity Ashish Kurmi.
«En una escalada muy rara, el paquete comprometido contenía un certificado de origen de nivel 3 de compilación SLSA válido, lo que lo convierte en el primer gusano npm documentado en producir un paquete malicioso válidamente probado. Desde entonces, el gusano se ha extendido más allá de TanStack a paquetes de UiPath, DraftLab y otros mantenedores».
Además de TanStack, la campaña Mini Shai-Hulud también se extendió a varios otros paquetes, incluidos los de PyPI.
Guardrails-ai@0.10.1 (PyPI) misstralai@2.4.6 (PyPI) @opensearch-project/opensearch@3.5.3, 3.6.2, 3.7.0 y 3.8.0 @squawk/mcp@0.9.5 @squawk/weather@0.5.10 @squawk/flightplan@0.5.6 @tallyui/connector-medusa@1.0.1, 1.0.2 y 1.0.3 @tallyui/connector-vendure@1.0.1, 1.0.2 y 1.0.3
En su análisis del paquete malicioso mistralai PyPI, Microsoft dijo que el paquete está diseñado para descargar un ladrón de credenciales desde un servidor remoto (‘83.142.209(.)194’) y contiene lógica basada en el país para eludir entornos en idioma ruso y una «rama destructiva geocercada que tiene una probabilidad de 1 en 6 de ejecutar rm -rf / si un sistema parece estar en Israel o Irán».
«La violación de guardrails-ai@0.10.1 es particularmente notable porque resultó en la ejecución de código malicioso al importar», dijo Socket. «El paquete verifica el sistema Linux, descarga el artefacto remoto de Python desde https://git-tanstack.com/transformers.pyz, lo escribe en /tmp/transformers.pyz y lo ejecuta en python3 sin verificación de integridad».
«Esta última actividad muestra que la campaña continúa extendiéndose tanto en npm como en PyPI, con paquetes afectados que abarcan infraestructura de búsqueda, herramientas de inteligencia artificial, paquetes de desarrolladores relacionados con la aviación, automatización empresarial, herramientas de front-end y ecosistemas adyacentes a CI/CD».
Source link
