La campaña de supply chain denominada “Mini Shai-Hulud” comprometió cientos de paquetes npm y PyPI utilizados por desarrolladores y empresas tecnológicas. El malware robó credenciales, abusó de pipelines automatizados y alcanzó proyectos asociados a TanStack, Mistral AI y entornos utilizados por OpenAI.
Durante el último tiempo, investigadores de seguridad y medios especializado han reportado una campaña de ataque a la cadena de suministro de software denominada “Mini Shai-Hulud”, que comprometió cientos de paquetes distribuidos a través de npm, PyPI y otros ecosistemas utilizados por desarrolladores. Los incidentes afectaron bibliotecas relacionadas con SAP, Lightning, Intercom, TanStack y Mistral AI, además de paquetes utilizados en entornos de inteligencia artificial, automatización y desarrollo frontend.
Los reportes publicados por medios especializados indican que el malware se distribuía mediante paquetes legítimos alterados para ejecutar scripts maliciosos durante la instalación. La amenaza utilizaba mecanismos de “preinstall” para robar secretos almacenados en entornos de desarrollo y plataformas CI/CD, incluyendo tokens de GitHub, AWS, Kubernetes y otros servicios utilizados por desarrolladores y organizaciones.
La campaña recibió el nombre de “Mini Shai-Hulud” debido a su capacidad de propagación automática entre proyectos y cuentas comprometidas. Según los investigadores, el malware buscaba credenciales almacenadas en equipos de desarrolladores y pipelines automatizados para luego comprometer nuevos repositorios y publicar versiones maliciosas de paquetes ampliamente utilizados.
Uno de los aspectos más relevantes del incidente fue el compromiso de componentes vinculados al ecosistema TanStack. Investigadores señalaron que los atacantes abusaron de GitHub Actions y mecanismos de autenticación OIDC para publicar paquetes maliciosos firmados desde pipelines legítimos. Este ataque permitió distribuir “paquetes maliciosos firmados”, dificultando la detección mediante controles tradicionales de integridad.
Posteriormente los medios especializados reportaron una nueva ola de ataques que elevó el número de paquetes afectados a más de 320 en npm. En esta oportunidad la campaña comprometió bibliotecas utilizadas en frameworks frontend, SDKs cloud, herramientas de IA y extensiones para Visual Studio Code. En paralelo, se informó una expansión posterior que alcanzó más de 600 paquetes npm relacionados con la misma operación.
La campaña también impactó indirectamente a OpenAI. La empresa confirmó que dos dispositivos internos instalaron paquetes comprometidos vinculados al incidente TanStack. Según el reporte, OpenAI señaló que no se vio afectada información de clientes ni sistemas centrales, aunque reconoció acceso limitado a ciertos repositorios internos y el robo de algunas credenciales corporativas.
Posteriormente, investigadores advirtieron que parte del código utilizado en Mini Shai-Hulud fue filtrado y reutilizado por otros actores maliciosos. Los medios especializados indicaron que nuevas campañas comenzaron a distribuir variantes derivadas del malware original para instalar infostealers y continuar comprometiendo paquetes npm. Esto transformó la amenaza desde una operación específica atribuida a TeamPCP hacia una familia reutilizable de ataques supply chain.
Los análisis publicados coinciden en que la campaña se centró principalmente en comprometer entornos de desarrollo y automatización, aprovechando la confianza existente en paquetes populares y pipelines legítimos. Investigadores señalaron que el abuso de tokens CI/CD, GitHub Actions y procesos automatizados permitió a los atacantes ampliar rápidamente el alcance de la operación dentro del ecosistema de desarrollo moderno.
Cronología de la campaña
- Septiembre de 2025: aparece la primera versión del malware Shai-Hulud y compromete más de 200 paquetes npm y se propaga robando credenciales de mantenedores y entornos CI/CD.
- Diciembre de 2025: surge una nueva variante conocida como “Shai-Hulud 2.0”, con mayor capacidad de propagación y ataques dirigidos contra mantenedores de proyectos populares del ecosistema open source.
- 31 de marzo de 2026: atacantes comprometen el paquete axios en npm mediante el secuestro de una cuenta de mantenedor y la inserción de una dependencia maliciosa ejecutada durante la instalación. El incidente deriva en alertas de seguridad y análisis públicos.
- 29 de abril de 2026: emerge la campaña “Mini Shai-Hulud”, enfocada inicialmente en el ecosistema de desarrollo SAP. Cuatro paquetes relacionados con herramientas SAP son comprometidos durante varias horas, afectando a más de mil desarrolladores y permitiendo el robo de credenciales.
- 10 de mayo de 2026: investigadores detectan actividad maliciosa contra repositorios vinculados a TanStack. Según análisis posteriores, los atacantes utilizan GitHub Actions, cache poisoning y extracción de tokens OIDC para secuestrar pipelines legítimos de publicación.
- 11 de mayo de 2026: comienza la mayor ola conocida de la campaña. Los atacantes publican 84 artefactos maliciosos distribuidos en 42 paquetes @tanstack/* dentro de una ventana de aproximadamente seis minutos.
- 11 al 12 de mayo de 2026: la campaña se expande rápidamente y compromete al menos 170 paquetes en npm y PyPI, incluyendo proyectos vinculados a TanStack, Mistral AI, UiPath, OpenSearch y herramientas de IA y desarrollo frontend.
- 12 de mayo de 2026: RubyGems suspende temporalmente registros de nuevas cuentas tras detectar más de 500 paquetes maliciosos asociados a la misma ola de ataques de supply chain.
- 13 de mayo de 2026: OpenAI confirma que dos dispositivos corporativos fueron afectados tras instalar paquetes comprometidos de TanStack. La empresa indica que no hubo impacto sobre datos de usuarios ni sistemas de producción, aunque sí detectó exfiltración limitada de credenciales internas.
- 14 al 15 de mayo de 2026: OpenAI inicia la rotación de certificados de firma de código y medidas adicionales de contención tras el incidente asociado a Mini Shai-Hulud.
- 19 de mayo de 2026: investigadores reportan una nueva ola de la campaña que compromete más de 300 paquetes npm adicionales, incluyendo proyectos relacionados con AntV y OpenClaw-CN, incorporando nuevas capacidades de persistencia y propagación.
- Finales de mayo de 2026: múltiples firmas de seguridad advierten que el código del malware comenzó a circular públicamente, permitiendo que otros actores reutilicen variantes de Mini Shai-Hulud en nuevas campañas de robo de credenciales y ataques a la cadena de suministro.
Reportes relacionados para consultar
- 8.3M Downloads Compromised: Lightning & Intercom-Client Infected in Latest Shai-Hulud Attack (OxSecurity)
- New Actors Deploy Shai-Hulud Clones: TeamPCP Copycats Are Here (OxSecurity)
- Mini Shai-Hulud Spreads to Packagist: Malicious Intercom PHP Package Follows npm Compromise (Socket)
- Mini Shai-Hulud Hits @antv Ecosystem, 639 Compromised npm Package Versions (Socket)
- TanStack npm Packages Compromised in Ongoing Mini Shai-Hulud Supply-Chain Attack (Socket)
- Supply Chain Campaign Targets SAP npm Packages with Credential-Stealing Malware (Wiz)
- The Worm That Keeps on Digging: TeamPCP Hits @antv in Latest Wave (Wiz)
- Shai-Hulud Resurfaces: Intercom-client@7.0.4 Harvesting Github Credentials (Netskope)
- Shai-Hulud: Here We Go Again. Mass npm Supply Chain Attack Hits the AntV Ecosystem (StepSecurity)
- Microsoft’s durabletask PyPI Package Compromised in Supply Chain Attack (StepSecurity)
- TeamPCP’s Mini Shai-Hulud Is Back: A Self-Spreading Supply Chain Attack Compromises TanStack npm Packages (StepSecurity)
- Microsoft is investigating a new, emerging Mini Shai-Hulud npm supply chain attack targeting antv packages (Microsoft)
- Mini Shai-Hulud Is Back: npm Worm Hits over 160 Packages, including Mistral and Tanstack (Aikido)
- Mini Shai-Hulud strikes again: npm worm compromises hundreds of @antv packages (Aikido)
- Shai-Hulud compromises the @tanstack ecosystem: 160+ packages compromised (EndorLabs)
- Mini Shai-Hulud Returns: 600+Malicious npm Packages Fake Sigstore Badges in AntV Ecosystem Attack (EndorLabs)
- Mass Supply Chain Attack Hits TanStack, Mistral AI npm and PyPI Packages (SafeDep)
- TanStack Npm Packages Compromised Inside The Mini Shai Hulud Supply Chain Attack (Snyk)
- Malware in 42 @tanstack/* packages exfiltrates cloud credentials, GitHub tokens, and SSH keys (TanStack)
- Several npm latest releases were compromised #7383 (TankStack)
- Postmortem: TanStack npm supply-chain compromise (TankStack)
- The Monsters in Your Build Cache – GitHub Actions Cache Poisoning (Adnan Khan Blog)
- Shai-Hulud: Here We Go Again – Dissecting a Supply Chain Worm Across the TanStack Ecosystem (Upwind)
- Nuestra respuesta al ataque a la cadena de suministro de npm de TanStack (OpenAI)