Qué fue el ataque Mini Shai‑Hulud y por qué sacudió el ecosistema de código abierto

El compromiso del ecosistema TanStack

Uno de los objetivos principales fue TanStack, un conjunto de bibliotecas JavaScript muy populares en aplicaciones web modernas.

En cuestión de minutos, los atacantes publicaron 84 versiones maliciosas en 42 paquetes @tanstack/* utilizando el pipeline legítimo del proyecto.

Cuando un desarrollador instalaba estas versiones, se ejecutaba código malicioso durante los hooks del gestor de paquetes (como preinstall), lo que descargaba un payload para robar credenciales.

Investigaciones posteriores mostraron que la campaña se expandió rápidamente:

• Más de 170 paquetes en npm y PyPI afectados
• 403 versiones maliciosas identificadas
• Ecosistemas asociados a UiPath, Mistral AI, OpenSearch y Guardrails AI también impactados

Esto convirtió a Mini Shai‑Hulud en uno de los mayores incidentes de seguridad del código abierto en 2026.

Cómo funcionaba el malware

Los paquetes comprometidos aprovechaban hooks estándar del gestor de paquetes (por ejemplo preinstall) para ejecutar código cuando el desarrollador instalaba la dependencia.

Una vez activo, el malware intentaba recopilar credenciales del sistema infectado. Entre los objetivos detectados estaban:

• Tokens personales de acceso de GitHub
• Tokens de publicación de npm
• Credenciales de proveedores cloud (AWS, Azure, GCP)
• Secretos de Kubernetes
• Tokens de HashiCorp Vault
• Variables de entorno de CI/CD
• Claves SSH y archivos de configuración del desarrollador

Con esas credenciales, los atacantes podían comprometer otros repositorios y publicar nuevos paquetes infectados, permitiendo que el gusano se propagara automáticamente por la infraestructura de desarrollo.

Cómo se vieron afectados dos dispositivos de OpenAI

Dentro de esta campaña más amplia, dos dispositivos de empleados de OpenAI instalaron versiones maliciosas de paquetes TanStack en el entorno corporativo de la empresa.

Según OpenAI, los atacantes realizaron acceso no autorizado y actividad de exfiltración centrada en credenciales en esos sistemas. Sin embargo, la investigación interna concluyó que:

• No hay evidencia de acceso a datos de clientes
• Solo se expuso una cantidad limitada de material de credenciales

Los informes públicos no detallan qué versión específica del paquete causó la infección ni la cadena exacta de compromiso.

Por qué OpenAI rotó los certificados de sus apps para macOS

Como parte de su respuesta al incidente, OpenAI actualizó su documentación para organizaciones que permiten o controlan aplicaciones mediante allowlisting en macOS.

La empresa confirmó que la identidad de firma de desarrollador de Apple usada por sus aplicaciones de macOS cambió durante la respuesta al incidente.

Aspectos importantes para administradores:

• El Apple Developer Team ID sigue siendo el mismo: 2DC432GLL2
• Los sistemas que permiten apps por Team ID probablemente no necesitan cambios
• Las políticas que validan huellas de certificados o nombre de organización sí pueden requerir actualización

Las empresas deberían verificar que sus políticas de seguridad confían en la identidad de firma actual de OpenAI, no en certificados antiguos.

Impacto más amplio en npm y PyPI

El incidente puso de relieve un riesgo creciente en el desarrollo moderno: los pipelines automatizados de publicación también pueden ser un vector de ataque.

A diferencia de ataques clásicos —que dependen del robo de credenciales de mantenedores— Mini Shai‑Hulud explotó directamente:

• Automatización de CI/CD
• Identidades de publicación confiables
• Modelos de confianza de los registros de paquetes

Debido a esto, las versiones maliciosas podían parecer legítimas y propagarse rápidamente por múltiples proyectos.

Al final de la mayor ola del ataque:

• Más de 170 paquetes en npm y PyPI estaban comprometidos
• Se publicaron cientos de versiones maliciosas
• Varios ecosistemas de desarrollo quedaron temporalmente afectados

Qué deberían hacer ahora los desarrolladores y usuarios de OpenAI

1. Auditar dependencias instaladas el 11–12 de mayo de 2026

Revise instalaciones y builds realizados durante ese periodo, cuando se publicaron las versiones maliciosas de TanStack.

2. Eliminar e instalar versiones seguras

Si una versión comprometida estuvo presente:

• Elimine la dependencia
• Instale una versión confirmada como segura
• Reconstruya el proyecto desde fuentes limpias

3. Rotar credenciales

Dado que el malware buscaba credenciales, es recomendable rotar cualquier secreto potencialmente expuesto:

• Tokens de GitHub
• Tokens de publicación de npm o PyPI
• Credenciales de proveedores cloud
• Secretos usados en pipelines CI/CD

4. Revisar workflows de GitHub Actions

Los proyectos deberían auditar sus pipelines de publicación y confirmar que la configuración de OIDC trusted publishing está estrictamente limitada.

5. Actualizar allowlists de macOS para apps de OpenAI

Las organizaciones que usan herramientas de OpenAI en macOS deben asegurarse de que sus políticas de seguridad confían en la nueva identidad de firma utilizada por las aplicaciones.

Qué revela este incidente sobre la seguridad moderna del software

Mini Shai‑Hulud demuestra que los atacantes ya no solo buscan vulnerar sistemas de producción: cada vez más apuntan a la infraestructura de desarrollo.

Al comprometer herramientas y pipelines que los desarrolladores usan a diario, los atacantes pueden distribuir malware dentro de dependencias aparentemente confiables.

El incidente también mostró una realidad inquietante: incluso paquetes con atestaciones de procedencia válidas y firmas legítimas pueden ser maliciosos si el pipeline de construcción ha sido comprometido.

Para equipos que dependen fuertemente del código abierto, vigilar cambios en dependencias, aislar entornos de build y rotar credenciales rápidamente tras incidentes ya no es opcional: es una parte esencial de la seguridad del software.