Ataque a la cadeia de suministro Mini Shai-Hulud apunta a Mistral y TanStack

Una campaña coordinada de cadeia de suministro en npm y PyPI, apodada "Mini Shai-Hulud", golpeó los ecosistemas Mistral AI y TanStack el 11 de mayo, inyectando malware que roba credenciales en paquetes descargados decenas de millones de veces por semana. Los atacantes expusieron tokens de GitHub, claves de API en la nube y secretos de CI/CD en toda la infraestructura de desarrolladores.

Microsoft Threat Intelligence está investigando un comprometimiento del paquete mistralai en PyPI versión 2.4.6. Los atacantes insertaron código malicioso en mistralai/client/__init__.py que se activa en la importación. La rutina inyectada obtiene una carga útil secundaria desde la IP 83.142.209.194 a través de curl, la escribe en /tmp/transformers.pyz y la ejecuta como un proceso separado en segundo plano. El nombre del archivo imita la biblioteca Transformers de Hugging Face.

La carga útil de segunda fase roba credenciales con capacidades adicionales: lógica de ramificación consciente de país y una rutina destructiva capaz de ejecutar rm -rf / bajo ciertas condiciones geográficas. El malware omite la ejecución en entornos de idioma ruso.

La campaña npm comenzó el mismo día. La empresa de seguridad Aikido identificó dos oleadas de comprometimiento comenzando alrededor de las 19:20 UTC, afectando @tanstack/react-router, @tanstack/history y @tanstack/router-core. Horas después, Aikido marcó @mistralai/mistralai, @mistralai/mistralai-azure y @mistralai/mistralai-gcp como parte de la misma campaña. Aikido registró 373 entradas de versión de paquete malicioso en 169 espacios de nombres de paquetes. Ambas campañas utilizaron mecánicas idénticas: paquetes confiables modificados para incluir código malicioso, descargas de carga útil preparadas, ejecución automática en la instalación o importación y robo de credenciales.

El vector de amenaza crítico es el ejecutor de CI/CD. Los pipelines de compilación modernos contienen tokens de acceso personal de GitHub, credenciales de publicación npm, claves de implementación en la nube, certificados SSH y acceso a gestores de secretos. Una única dependencia envenenada instalada en un ejecutor de CI otorga a los atacantes acceso directo a la infraestructura de publicación, permitiendo que actualizaciones maliciosas se propaguen a través de canales de distribución legítimos a consumidores aguas abajo. Los paquetes TanStack abarcan millones de aplicaciones frontend.

Microsoft y Aikido publicaron pasos específicos de remediación. Las organizaciones deben aislar inmediatamente los hosts Linux que importaron o instalaron las versiones de paquete comprometidas, bloquear conexiones salientes a 83.142.209.194 y buscar /tmp/transformers.pyz, pgmonitor.py y pgsql-monitor.service. Cualquier entorno donde estuvieron presentes los paquetes afectados debe rotar tokens de GitHub, credenciales npm, claves de API en la nube y secretos de CI/CD.

Mini Shai-Hulud apunta a herramientas de desarrollador — SDK de IA y frameworks frontend — porque las máquinas de desarrolladores y los pipelines de compilación son concentradores de credenciales. La campaña refleja SolarWinds, event-stream, 3CX y XZ Utils: comprometer la toolchain, heredar la confianza. Esta campaña apunta simultáneamente a paquetes de infraestructura de IA y frameworks frontend convencionales.

Es posible que se identifiquen paquetes adicionales a medida que los mantenedores y las empresas de seguridad auditen las credenciales de publicación. Las organizaciones que dependen de dependencias Mistral o TanStack en pipelines de CI/CD de producción deben auditar inmediatamente las versiones instaladas contra la lista de comprometidas.