Cómo el ataque Mini Shai‑Hulud inundó npm con cientos de paquetes maliciosos
El ataque Mini Shai‑Hulud comprometió más de 170 paquetes npm y PyPI y publicó cientos de versiones maliciosas, incluyendo un estallido de 637 versiones en 22 minutos dentro del ecosistema @antv.[1][5][7] Los atacantes abusaron de GitHub Actions, tokens OIDC y firmas SLSA/Sigstore para publicar paquetes maliciosos q...
What happened in the Mini Shai-Hulud npm supply chain attack on May 19, 2026, how were more than 630 malicious package versions published soThe Mini Shai‑Hulud campaign showed how compromised CI pipelines and maintainer accounts can rapidly spread malicious code across the open‑source ecosystem.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: What happened in the Mini Shai-Hulud npm supply chain attack on May 19, 2026, how were more than 630 malicious package versions published so. Article summary: Mini Shai-Hulud was a fast-moving npm/PyPI supply-chain worm campaign attributed to TeamPCP that abused maintainer access, CI/CD secrets, GitHub Actions OIDC trust, and provenance signing to publish malicious packages th. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# ‘Mini Shai-Hulud’ malware compromises hundreds of open-source packages in sprawling supply-chain attack. A rapidly spreading malware campaign has infected hundreds of software pa" source context "‘Mini Shai-Hulud’ malware compromises hundreds of open-source packages in sprawling supply-chain attack | CyberScoop" Reference imag
openai.com
El ecosistema de software de código abierto funciona en gran medida sobre la confianza: confianza en los mantenedores, en los pipelines de CI/CD y en las firmas criptográficas que verifican el origen de un paquete. La campaña Mini Shai‑Hulud demostró que esa misma infraestructura de confianza también puede convertirse en un arma.
En mayo de 2026, el grupo de amenazas TeamPCP lanzó una serie de ataques a la cadena de suministro de software que comprometieron paquetes populares en npm (JavaScript) y PyPI (Python). Los atacantes publicaron cientos de versiones maliciosas usando la infraestructura legítima de los propios proyectos, lo que hizo que los paquetes parecieran auténticos.
Uno de los episodios más llamativos ocurrió el 19 de mayo de 2026, cuando se publicaron 637 versiones maliciosas en 323 paquetes en apenas unos 22 minutos dentro del ecosistema de visualización de datos @antv, después de comprometer la cuenta de un mantenedor asociada al paquete atool.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
¿Cuál es la respuesta corta a "Cómo el ataque Mini Shai‑Hulud inundó npm con cientos de paquetes maliciosos"?
El ataque Mini Shai‑Hulud comprometió más de 170 paquetes npm y PyPI y publicó cientos de versiones maliciosas, incluyendo un estallido de 637 versiones en 22 minutos dentro del ecosistema @antv.[1][5][7]
¿Cuáles son los puntos clave a validar primero?
El ataque Mini Shai‑Hulud comprometió más de 170 paquetes npm y PyPI y publicó cientos de versiones maliciosas, incluyendo un estallido de 637 versiones en 22 minutos dentro del ecosistema @antv.[1][5][7] Los atacantes abusaron de GitHub Actions, tokens OIDC y firmas SLSA/Sigstore para publicar paquetes maliciosos que parecían artefactos legítimos generados por los propios pipelines de los proyectos.[1][2][10]
¿Qué debo hacer a continuación en la práctica?
El malware robaba credenciales de desarrolladores, claves de nube y tokens de CI/CD para propagarse a otros repositorios y pipelines, ampliando el impacto a gran parte del ecosistema open source.[2][9]
Investigadores consideran este incidente uno de los ataques más sofisticados a la cadena de suministro open source porque los paquetes maliciosos incluían firmas y metadatos de procedencia válidos, algo que normalmente sirve para demostrar que el software es legítimo.
Qué fue la campaña Mini Shai‑Hulud
Mini Shai‑Hulud no fue un único incidente, sino una campaña escalonada dirigida a múltiples proyectos y ecosistemas de desarrollo.
Entre el 10 y el 12 de mayo de 2026, investigadores detectaron que el malware había comprometido más de 170 paquetes en npm y PyPI distribuidos en 19 namespaces, publicando más de 400 versiones maliciosas.
Entre los proyectos afectados aparecieron bibliotecas relacionadas con:
TanStack
Mistral AI
UiPath
OpenSearch
Guardrails AI
Muchas de estas librerías son dependencias utilizadas por miles de aplicaciones web y herramientas de desarrollo, lo que amplifica enormemente el impacto potencial.
En conjunto, los paquetes afectados acumulaban más de 518 millones de descargas históricas, lo que ilustra el alcance potencial del ataque dentro del ecosistema open source.
Posteriormente, una nueva oleada afectó al ecosistema AntV, un conjunto de bibliotecas de visualización de datos con alrededor de 16 millones de descargas semanales.
Cómo lograron publicar más de 600 versiones maliciosas en minutos
La velocidad del ataque se debió principalmente a la automatización y al abuso de privilegios legítimos.
En el incidente del 19 de mayo, los atacantes comprometieron la cuenta de mantenedor de npm asociada al paquete atool.
Una vez dentro, aprovecharon los mecanismos normales de publicación que utilizan los mantenedores:
scripts automatizados
pipelines de integración continua (CI)
publicación simultánea en múltiples paquetes
Con un solo acceso comprometido, los atacantes pudieron disparar procesos automáticos que publicaron versiones nuevas en decenas o cientos de paquetes al mismo tiempo.
Esto permitió que centenares de artefactos maliciosos se publicaran en cuestión de minutos, algo prácticamente imposible de hacer manualmente.
Abuso de GitHub Actions y tokens OIDC
Uno de los aspectos más técnicos del ataque fue el uso indebido de los sistemas modernos de publicación segura.
Muchos proyectos open source usan GitHub Actions con “trusted publishing”, un mecanismo que permite publicar paquetes sin guardar credenciales permanentes. En su lugar, el pipeline obtiene tokens temporales mediante OpenID Connect (OIDC).
En varios proyectos comprometidos, los atacantes lograron:
manipular o secuestrar workflows de GitHub Actions
extraer tokens OIDC temporales del entorno del runner
usar esos tokens para autenticar publicaciones en npm
Como el propio pipeline oficial realizaba la publicación, los paquetes parecían provenir del sistema de build legítimo del proyecto.
Esto rompió una suposición común en seguridad: que eliminar credenciales permanentes evita este tipo de compromisos.
Malware firmado que parecía legítimo
El ataque fue aún más preocupante porque consiguió superar mecanismos diseñados precisamente para evitar manipulaciones.
Los pipelines modernos suelen generar pruebas de procedencia (provenance) bajo el estándar SLSA y firmar artefactos mediante certificados Sigstore. Estas firmas permiten verificar que un paquete fue construido por un workflow autorizado.
En el caso de Mini Shai‑Hulud, los investigadores descubrieron que los atacantes obtuvieron certificados de firma legítimos usando identidades comprometidas de CI y tokens OIDC. Como resultado, los paquetes maliciosos incluían provenance SLSA Build Level 3 válida y firmas criptográficas auténticas.
Desde el punto de vista de las herramientas de verificación, todo parecía correcto: paquetes firmados, procedencia trazable y publicación desde pipelines confiables.
El problema no estaba en el sistema de firmas, sino en que el entorno de build confiable ya había sido comprometido.
Qué intentaba robar el malware
Los paquetes infectados contenían código diseñado para recopilar credenciales sensibles de desarrolladores e infraestructura.
Entre los objetivos identificados se encuentran:
tokens y credenciales de CI/CD
claves de proveedores cloud
tokens de acceso de npm o GitHub
claves SSH y otros secretos de desarrollador
Robar estas credenciales permitía a los atacantes comprometer nuevos repositorios, pipelines y cuentas de publicación, lo que ayudaba a que el malware se propagara por el ecosistema.
Por esa capacidad de expansión automática, Mini Shai‑Hulud ha sido descrito como un gusano de cadena de suministro dentro del ecosistema de desarrollo.
Por qué preocupa a todo el ecosistema open source
El incidente dejó varias lecciones importantes para la seguridad del software moderno.
1. La infraestructura confiable puede convertirse en el vector de ataque.
Incluso sistemas avanzados como OIDC, SLSA o artefactos firmados no garantizan seguridad si el atacante controla el pipeline que genera el software.
2. Un solo mantenedor comprometido puede afectar cientos de paquetes.
El caso del ecosistema AntV demostró cómo una sola cuenta permitió publicar cientos de versiones maliciosas en minutos.
3. Las dependencias multiplican el impacto.
Muchos paquetes npm dependen de otros paquetes. Si uno se compromete, el malware puede propagarse a través de dependencias transitivas a miles de proyectos.
4. La campaña parece parte de una operación más amplia.
Investigadores vinculan Mini Shai‑Hulud con una campaña mayor del grupo TeamPCP que también comprometió herramientas como el plugin Checkmarx Jenkins AST y atacó múltiples ecosistemas open source.
La lección para desarrolladores y empresas
Mini Shai‑Hulud dejó claro que la verificación criptográfica por sí sola no es suficiente si los atacantes logran controlar la infraestructura que genera el software.
Por eso muchas organizaciones están reforzando medidas como:
aislar los runners de CI
limitar permisos de workflows
monitorear publicaciones inusuales
auditar dependencias continuamente
A medida que el desarrollo moderno depende cada vez más de pipelines automáticos y paquetes reutilizables, la seguridad de las identidades de desarrolladores y la infraestructura de CI/CD se vuelve tan crítica como el propio código.
Mini Shai‑Hulud demostró lo rápido que puede romperse esa confianza — y lo lejos que puede propagarse el impacto cuando ocurre.
Comments
0 comments