Mini Shai-Hulud ataca de nuevo: 314 paquetes de npm comprometidos

• La cuenta de npm de atool fue comprometida el 19 de mayo de 2026 y, durante unos 22 minutos, se publicaron automáticamente 637 versiones maliciosas en 317 paquetes
• La carga útil era un script de Bun ofuscado de 498 KB que usaba la misma estructura de escáner y expresiones regulares que Mini Shai-Hulud, empleado en el compromiso de SAP
• Los objetivos de robo se ampliaron a credenciales de AWS, tokens de Kubernetes, Vault, PAT de GitHub, tokens de npm, claves SSH e incluso secretos locales
• En CI, intercambia GitHub Actions OIDC por tokens de publicación de npm y abusa de la firma de Sigstore y de la inyección de workflows maliciosos
• La respuesta requiere verificar si se instalaron versiones comprometidas, rotar todas las credenciales que pudieron haber estado accesibles y aplicar lockfile y fijación de dependencias, además de inspecciones previas a la instalación

Resumen del ataque

• La cuenta de npm de atool (i@hust.cc) fue comprometida el 19 de mayo de 2026 y, durante unos 22 minutos, se publicaron 637 versiones maliciosas en 317 paquetes
• Esta cuenta mantenía 547 paquetes, y el atacante realizó dos incrementos de versión en más de 314 de ellos
• Entre los paquetes afectados están size-sensor (4.2 millones de descargas mensuales), echarts-for-react (3.8 millones), @antv/scale (2.2 millones), timeago.js (1.15 millones) y varios paquetes bajo el scope @antv
• La carga útil es un script ofuscado de Bun de 498 KB y usa la misma estructura de escáner, expresiones regulares para credenciales y patrones de ofuscación que el toolkit Mini Shai-Hulud utilizado en el compromiso de SAP tres semanas antes
• Los datos robados se confirmaban como objetos Git en repositorios públicos de GitHub o se enviaban mediante HTTPS POST cifrado con RSA+AES a t.m-kosche[.]com

Método de distribución y riesgo de semver

• La primera ola publicó unas 317 versiones entre las 01:39 y las 01:56 UTC del 19 de mayo de 2026, y la segunda hizo cerca de 314 incrementos de versión en los mismos paquetes entre las 02:05 y las 02:06 UTC
• La mayoría de los paquetes, 309 en total, recibieron exactamente 2 versiones maliciosas, una por cada ola
• Cuatro paquetes —size-sensor, echarts-for-react, jest-canvas-mock y jest-date-mock— recibieron 3 versiones, lo que sugiere que se usaron en pruebas iniciales
• El atacante no movió el dist-tag latest en la mayoría de los paquetes, pero la resolución semver de npm elige la versión más alta que coincida con el rango independientemente de latest
• Por ejemplo, aunque latest de echarts-for-react siguiera en 3.0.6, un proyecto con "echarts-for-react": "^3.0.6" podría resolverse a la versión maliciosa 3.2.7 en la siguiente instalación limpia

Ruta de ejecución y carga útil

• Todas las versiones alteradas agregaron un incremento de versión y "preinstall": "bun run index.js" en package.json
• De las 637 versiones maliciosas, 630 añadieron @antv/setup: github:antvis/G2#<commit-sha> en optionalDependencies para traer una segunda copia de la carga útil
• El hook preinstall se ejecuta antes de instalar dependencias y requiere el runtime de Bun
• Incluso si preinstall se bloquea o se omite, el script prepare del commit que suplanta a GitHub queda como segunda ruta de ejecución
• index.js es un bundle ofuscado de Bun de una sola línea y 498 KB, con el mismo requisito de Bun, ofuscación con variables hexadecimales, estructura de escáner con umbral de flush de 100 KB y conjunto de expresiones regulares para credenciales que la carga útil Mini Shai-Hulud usada en el compromiso de SAP
• La detección de entornos CI revisa variables de entorno de más de 20 plataformas, incluidas GitHub Actions, Jenkins, GitLab CI, CircleCI, Travis, Buildkite, Drone, TeamCity, AppVeyor, Bitbucket Pipelines, CodeBuild, Azure DevOps, Netlify y Vercel

Objetivos de recolección de credenciales

• La carga útil lee más de 80 variables de entorno con nombres cifrados y escanea el contenido de archivos mediante expresiones regulares
• Los objetivos principales incluyen token de GitHub, token de npm, JWT de GitHub Actions, clave de AWS, clave de Azure, connection string de base de datos, clave de Stripe, clave SSH, autenticación de Docker, token de Vault, token de Kubernetes y credenciales incrustadas en URL
• El escáner de archivos lee ubicaciones estándar de credenciales en el directorio personal, como .ssh, .aws/credentials, .npmrc, .docker/config.json y .kube/config
• Recorre todo el orden de resolución de credenciales de AWS, obtiene credenciales de roles IAM desde EC2 IMDSv2 y el endpoint de credenciales de contenedores de ECS, e intenta usar AWS STS GetCallerIdentity y acceder a Secrets Manager
• En Vault, revisa archivos de token y valores como VAULT_ADDR, VAULT_TOKEN y VAULT_ROLE, y si encuentra credenciales válidas intenta enumerar secretos y autenticarse en AWS y Kubernetes
• En Kubernetes, revisa el token de service account y KUBECONFIG, y si encuentra un socket de Docker intenta enumerar contenedores del host y escapar del contenedor

C2 y exfiltración de datos

• La API de GitHub se usa como si fuera C2: valida tokens de GitHub robados con GET /user y enumera organizaciones con GET /user/orgs
• Los tokens con permisos repo o public_repo suficientes se usan para crear repositorios de exfiltración del atacante
• La descripción del repositorio creado guarda la cadena invertida niagA oG eW ereH :duluH-iahS, que al leerla en orden correcto dice “Shai-Hulud: Here We Go Again”
• Los nombres de repositorio combinan dos palabras temáticas de Dune y un número, como harkonnen-melange-742, fremen-sandworm-315 o gesserit-navigator-508
• Los datos exfiltrados se guardan mediante la Git Data API en el orden blob, tree, commit y actualización de ref
• Un emisor HTTPS separado se configura para parecerse a un endpoint de ingestión de trazas OTLP de OpenTelemetry en hxxps://t.m-kosche[.]com/api/public/otel/v1/traces
• La carga útil HTTPS cifra JSON comprimido con gzip usando AES-256-GCM y encapsula la clave AES con RSA-OAEP usando una clave pública codificada en duro

Abuso de CI/CD y de la cadena de confianza

• En repositorios de GitHub accesibles con los tokens robados, recolecta historial de ejecución de workflows, artifacts, nombres de secretos, lista de ramas y configuración de Claude Code
• La API de GitHub no permite acceder a los valores de los secretos, pero sus nombres revelan qué credenciales existen
• El workflow malicioso se inyecta en .github/workflows/codeql.yml, se llama Run Copilot y se activa con push
• El workflow carga todos los secrets del repositorio en una variable de entorno como JSON con VARIABLE_STORE: ${{ toJSON(secrets) }}, los guarda en format-results.txt y luego los sube como artifact
• Después descarga el ZIP del artifact y reduce los rastros de la inyección eliminando la ejecución del workflow y restableciendo la referencia de la rama
• En CI con GitHub Actions OIDC, intenta intercambiarlo por un token de publicación de npm en el endpoint https://registry.npmjs.org/-/npm/…;
• La carga útil incluye una implementación de firma Sigstore, con formatos de Fulcio, Rekor y SLSA provenance, lo que le permite crear artifacts firmados con identidades de CI comprometidas

Entornos de desarrollo y agentes de codificación con IA infectados

• El payload apunta a entornos de Claude Code, Codex y VS Code mediante inyección remota a través de la API de GitHub e infección local mediante escritura en el sistema de archivos
• Hace commit de .vscode/tasks.json, .claude/index.js, .claude/settings.json, .claude/setup.mjs, .vscode/setup.mjs en repositorios accesibles con los tokens robados
• .claude/settings.json registra un hook SessionStart para ejecutar node .claude/setup.mjs cada vez que inicia una sesión de Claude Code
• .vscode/tasks.json activa la ejecución cuando se abre la carpeta del proyecto con "runOn": "folderOpen"
• setup.mjs descarga Bun v1.3.14 desde el release oficial de GitHub, extrae el binario y luego ejecuta el payload
• La ruta de infección local copia el payload a ~/.claude/package/index.js y ~/.codex/package/index.js, y escanea los archivos de configuración existentes del proyecto para inyectar hooks
• En Mac con Apple Silicon esta ruta de infección local se omite, mientras que en Linux, Mac Intel y Windows sí se ejecuta

Persistencia y C2 dead-drop en GitHub

• Un demonio de ejecución persistente disfrazado como kitty-monitor se instala como servicio de usuario de systemd en Linux y como ~/Library/LaunchAgents/com.user.kitty-monitor.plist en macOS
• El instalador usa systemctl --user enable --now y loginctl enable-linger para mantenerse incluso después de cerrar sesión
• El demonio cat.py consulta la GitHub Search API cada hora y busca commits que incluyan la palabra clave firedalazer
• El formato del mensaje de commit es firedalazer <base64_url>.<base64_signature> y, tras verificar la firma RSA-PSS con una clave pública RSA de 4096 bits codificada de forma fija, ejecuta el código Python de la URL
• Un demonio separado, gh-token-monitor, consulta los tokens de GitHub robados cada 60 segundos y su TTL es de 24 horas
• El escáner de memoria de procesos vuelca regiones de memoria legibles del proceso worker del runner de GitHub Actions usando /proc/pid/maps+mem en Linux y ReadProcessMemory en Windows

Commits falsificados de antvis/G2

• 630 de las 637 versiones maliciosas incluyen una entrada optionalDependencies que apunta a un commit específico del repositorio antvis/G2

  {
    "optionalDependencies": {
      "@antv/setup": "github:antvis/G2#1916faa365f2788b6e193514872d51a242876569"
    }
  }
  

• Cuando npm resuelve una dependencia github:, obtiene ese commit, busca package.json y luego ejecuta los scripts del ciclo de vida
• Ese commit contiene un package.json que declara @antv/setup e incluye un script prepare, además de un index.js de 499 KB con el mismo payload de Shai-Hulud ofuscado nuevamente
• El && exit 1 del script prepare hace que la optional dependency falle, pero npm no trata la falla de una optional dependency como fatal, así que la instalación continúa
• La Git API muestra 3 SHA de commit distintos enviados a antvis/G2, y ninguno está adjunto a ninguna rama
• Los tres commits comparten los mismos metadatos: author huiyu.zjt <Alexzjt@users.noreply.github.com>, commit message New Package, 0 parents y sin firma GPG
• El atacante puede dejar commits huérfanos con payload que se pueden obtener por SHA dentro del namespace del repositorio padre creando un orphan commit en un fork sin tener permisos de escritura sobre antvis/G2, y luego borrando el fork
• Este método es del mismo tipo que el problema de commits falsificados en GitHub Actions documentado por Chainguard, y aquí se aplica a la resolución de dependencias github: de npm

Indicadores de compromiso

• Deben revisarse los paquetes publicados por atool (i@hust.cc) entre 2026-05-19 01:44 y 02:06 UTC
• El script preinstall es bun run index.js
• El SHA256 del payload es a68dd1e6a6e35ec3771e1f94fe796f55dfe65a2b94560516ff4ac189390dfa1c
• Los commits falsificados de antvis/G2 son los siguientes
  • 1916faa365f2788b6e193514872d51a242876569 — 626 versiones
  • 7cb42f57561c321ecb09b4552802ae0ac55b3a7a — 2 versiones
  • dc3d62a2181beb9f326952a2d212900c94f2e13d — 1 versión, garbage collected
• Los IoC de red incluyen hxxps://t.m-kosche[.]com/api/public/otel/v1/traces, metadatos de EC2 en 169.254.169.254 y solicitudes de metadatos de contenedor ECS a 169.254.170.2
• Los IoC de repositorio incluyen la rama chore/add-codeql-static-analysis, el workflow Run Copilot y .github/workflows/codeql.yml que vuelca toJSON(secrets) a format-results.txt
• Los IoC del entorno de desarrollo incluyen el hook SessionStart en .claude/settings.json, "runOn": "folderOpen" en .vscode/tasks.json, .claude/setup.mjs y .vscode/setup.mjs
• Los IoC de persistencia incluyen kitty-monitor.service, com.user.kitty-monitor.plist, ~/.local/bin/gh-token-monitor.sh, ~/.local/share/kitty/cat.py, /var/tmp/.gh_update_state

Paquetes representativos que deben verificarse

• La tabla compromised-packages.csv tiene 2 columnas, Package y Compromised Versions, y según la tabla se muestran 317 paquetes
• Debe verificarse en el lockfile si existen esos paquetes y las versiones maliciosas publicadas el 2026-05-19
• Paquetes representativos de @antv y versiones maliciosas
  • @antv/g2: 5.5.8, 5.6.8
  • @antv/g6: 5.2.1, 5.3.1
  • @antv/g: 6.4.1, 6.5.1
  • @antv/l7: 2.26.10, 2.27.10
  • @antv/x6: 3.2.7, 3.3.7
  • @antv/s2: 2.8.1, 2.9.1
  • @antv/f2: 5.15.0, 5.16.0
• Paquetes generales de npm y versiones maliciosas
  • echarts-for-react: 3.0.7, 3.1.7, 3.2.7
  • size-sensor: 1.0.4, 1.1.4, 1.2.4
  • jest-canvas-mock: 2.5.3, 2.6.3, 2.7.3
  • jest-date-mock: 1.0.11, 1.1.11, 1.2.11
  • timeago.js: 4.1.2, 4.2.2
  • timeago-react: 3.1.7, 3.2.7
  • @lint-md/cli: 2.1.0, 2.2.0
  • @lint-md/core: 2.1.0, 2.2.0
  • @lint-md/parser: 0.1.14, 0.2.14

Respuesta y defensa

• Si se instaló una versión comprometida, se deben rotar los tokens de npm, GitHub PAT, claves de AWS, claves SSH, credenciales de la nube, contraseñas de bases de datos, tokens de Vault, tokens de service account de Kubernetes y secretos del administrador de contraseñas local a los que el entorno de compilación haya podido acceder
• t.m-kosche[.]com debe bloquearse a nivel de red y de DNS
• Se debe verificar si se crearon repositorios públicos no autorizados bajo cuentas de GitHub con tokens accesibles desde el entorno de compilación
• Se deben revisar los logs de publicación de paquetes no autorizados y de intercambio de tokens npm OIDC en los pipelines de CI
• Se deben revisar los registros de transparencia de Sigstore para ver si hay artifacts firmados creados con una identidad de CI comprometida
• En proyectos locales de Node.js, se deben revisar el hook .claude/settings.json, las tareas de autoejecución de .vscode/tasks.json, .claude/setup.mjs y .vscode/setup.mjs
• Se deben eliminar el servicio de usuario systemd kitty-monitor y el LaunchAgent com.user.kitty-monitor, y verificar si existen ~/.local/share/kitty/cat.py, /var/tmp/.gh_update_state y ~/.local/bin/gh-token-monitor.sh
• Se deben fijar las dependencias o usar un lockfile para evitar que la resolución de rangos semver lleve a versiones maliciosas
• Se debe auditar la exposición del socket de Docker y el acceso a metadata de EC2 en los pipelines de CI/CD, y considerar limitar el hop limit de IMDSv2
• Package Manager Guard (pmg) es un proxy de instalación de código abierto que contrasta paquetes con inteligencia de amenazas antes de ejecutar preinstall
• dependency cooldown puede rechazar versiones publicadas dentro de una ventana de tiempo configurable, lo que ayuda a reducir oleadas repentinas de despliegues en las que un rango semver se resuelve hacia una nueva versión maliciosa
• vet puede detectar actualizaciones anómalas de paquetes, como hooks preinstall inesperados, aumentos bruscos de tamaño o cambios de maintainer, antes de que lleguen a los pipelines de CI/CD
• El alcance del impacto —547 paquetes bajo una sola cuenta y más de 314 paquetes convertidos en armas en una sola sesión— deja en evidencia debilidades estructurales en el modelo de confianza de npm

Material de referencia

• Shai-Hulud Goes Open Source: Static Analysis of the Framework — Datadog Security Labs
• The Shai-Hulud Code Drop — ReversingLabs