El regreso de Mini Shai-Hulud: un ataque de cadena de suministro autorreplicable golpea al ecosistema de npm (5/11)

Resumen

El gusano Mini Shai-Hulud está infectando activamente paquetes legítimos de npm al secuestrar pipelines de CI/CD y robar secretos de los desarrolladores. El OSS Package Security Feed de StepSecurity detectó por primera vez este ataque en paquetes oficiales de @tanstack y está rastreando en tiempo real su propagación por todo el ecosistema.

Momento del incidente y alcance

Alrededor de las 19:20 UTC del 11 de mayo de 2026, 10 versiones maliciosas de paquetes oficiales @tanstack/* fueron publicadas en el registro de npm en menos de 6 minutos. Esos paquetes son componentes centrales del framework TanStack Router, utilizado en cientos de miles de proyectos de React.

Carga maliciosa

Se inyectó una carga ofuscada de robo de credenciales de 2.3 MB, diseñada para recopilar tokens de GitHub, tokens de npm y secretos de CI/CD.

Amenaza clave — mecanismo de autorreplicación

El gusano Shai-Hulud no necesita comprometer directamente un repositorio; en cambio, se monta sobre procesos de build legítimos y usa los tokens del usuario para propagarse por sí mismo. En otras palabras, la implicación central de este ataque es que incluso paquetes con SLSA provenance, publicación basada en OIDC y pipelines de CI/CD confiables pueden ser convertidos en armas.

Riesgo de infección en cadena

La estructura interconectada del ecosistema de npm es un medio de propagación ideal, y si un solo token es comprometido, puede producirse una infección en cadena hacia decenas de paquetes en cuestión de minutos — en este caso también se distribuyeron 10 versiones maliciosas en 5 paquetes dentro de 6 minutos.