TeamPCP lanza ataque masivo contra npm y PyPI

Investigadores de ciberseguridad han vinculado al actor malicioso TeamPCP con una nueva y sofisticada campaña de ataques a la cadena de suministro denominada "Mini Shai-Hulud", la cual ha comprometido paquetes populares de npm y PyPI pertenecientes a proyectos ampliamente utilizados en el ecosistema de desarrollo moderno.

Entre las organizaciones y proyectos afectados se encuentran TanStack, UiPath, Mistral AI, OpenSearch y Guardrails AI.

La operación representa uno de los ataques más complejos y agresivos registrados recientemente en el ecosistema open source, afectando más de 170 paquetes distribuidos entre npm y PyPI, acumulando más de 518 millones de descargas totales.

Malware avanzado oculto en paquetes npm y PyPI

Según múltiples investigaciones publicadas por empresas como Aikido Security, Endor Labs, Socket y Snyk, los paquetes comprometidos fueron modificados para incluir un archivo JavaScript ofuscado llamado "router_init.js".

Este componente malicioso está diseñado para:

• Perfilar el entorno de ejecución
• Robar credenciales
• Extraer tokens GitHub
• Obtener accesos a proveedores cloud
• Comprometer monederos de criptomonedas
• Robar secretos CI/CD
• Infectar IDEs de desarrollo
• Persistir tras reinicios

Los datos robados eran exfiltrados hacia el dominio malicioso "filev2.getsession[.]org".

Los investigadores señalan que los atacantes utilizaron deliberadamente infraestructura del protocolo Session, una plataforma de mensajería descentralizada centrada en privacidad, para evitar bloqueos tradicionales de red y dificultar la detección empresarial.

Persistencia en VS Code y Claude Code

Una de las capacidades más preocupantes del malware es su habilidad para instalar mecanismos de persistencia dentro de entornos de desarrollo como:

• Visual Studio Code
• Claude Code

El malware implementa hooks persistentes que permiten reactivar automáticamente la carga maliciosa cada vez que el desarrollador abre el IDE.

Además, instala un servicio denominado "gh-token-monitor", cuya función es supervisar continuamente la presencia de tokens GitHub válidos y volver a extraerlos si cambian o se regeneran.

GitHub Actions convertido en vector de ataque

La campaña también destaca por abusar agresivamente de GitHub Actions.

Los atacantes inyectaron flujos de trabajo maliciosos capaces de:

• Serializar secretos de repositorios
• Extraer variables CI/CD
• Robar credenciales cloud
• Subir información sensible a servidores externos

Los datos eran enviados al dominio "api.masscan[.]cloud".

En el caso específico de TanStack, los atacantes utilizaron una técnica extremadamente avanzada basada en:

• Envenenamiento de caché GitHub Actions
• Uso indebido de "pull_request_target"
• Extracción de tokens OIDC en memoria
• Secuestro de flujos legítimos de publicación

Esto permitió publicar versiones comprometidas usando la propia infraestructura legítima del proyecto.

CVE-2026-45321: vulnerabilidad crítica en TanStack

El incidente relacionado con TanStack fue identificado como CVE-2026-45321 y recibió una puntuación CVSS de 9.6 sobre 10, considerada gravedad crítica.

El ataque afectó:

• 42 paquetes npm
• 84 versiones comprometidas

Lo más alarmante es que los paquetes maliciosos incluían atestiguaciones válidas de procedencia SLSA Build Level 3.

Esto convierte el incidente en el primer caso documentado de un "gusano npm" capaz de generar paquetes maliciosos con firmas de procedencia legítimas.

Según investigadores de StepSecurity, los atacantes lograron aprovechar los permisos OIDC confiables del flujo de publicación para emitir tokens temporales válidos sin necesidad de robar tokens npm tradicionales.

Ataques automatizados impulsados por identidad

El malware fue diseñado para propagarse automáticamente dentro del ecosistema open source.

Una vez comprometido un entorno, el código malicioso buscaba:

• Tokens npm publicables
• Configuraciones bypass_2fa=true
• Repositorios asociados al mantenedor
• Flujos CI/CD vulnerables

Posteriormente, utilizaba tokens OIDC legítimos para generar nuevos tokens de publicación temporales y distribuir versiones infectadas en otros paquetes.

Este enfoque elimina la necesidad de robar credenciales permanentes y convierte la infraestructura de CI/CD legítima en el mecanismo de distribución del malware.

Los expertos consideran que esto marca una nueva etapa en la evolución de los ataques a la cadena de suministro.

Malware destructivo con función "dead man switch"

Uno de los comportamientos más peligrosos detectados en la campaña Mini Shai-Hulud es la inclusión de un mecanismo tipo "dead man switch".

El malware instala un script que consulta periódicamente el endpoint de GitHub cada 60 segundos para verificar si un token npm robado sigue activo.

El token malicioso incluye la descripción:

"If RevokeEsteTokenItBorraráOOrdenadorDeLaPropietaria"

Si el desarrollador revoca el token desde npm, el malware ejecuta automáticamente:

rm -rf ~/

Esta acción puede destruir completamente el sistema infectado, eliminando archivos personales, proyectos y configuraciones del desarrollador.

Los expertos recomiendan aislar inmediatamente el sistema comprometido antes de revocar cualquier token.

Paquetes afectados en npm y PyPI

La campaña Mini Shai-Hulud afectó múltiples ecosistemas y proyectos populares.

• Paquetes PyPI comprometidos
• [email protected]
• [email protected]
• Paquetes npm afectados
• @opensearch-project/opensearch
• @squawk/mcp
• @squawk/weather
• @squawk/flightplan
• @tallyui/connector-medusa
• @tallyui/connector-vendure

Según OX Security, se crearon más de 400 repositorios utilizando credenciales robadas, todos con la cadena:

"Shai-Hulud: Here We Go Again."

Microsoft detecta funciones destructivas geolocalizadas

Microsoft también analizó el paquete malicioso "mistralai" en PyPI y descubrió funciones adicionales extremadamente peligrosas.

El malware descargaba un stealer desde el servidor "83.142.209[.]194" e incluía lógica geográfica específica para:

• Evitar sistemas rusos
• Activar rutinas destructivas en Israel e Irán
• Ejecutar borrado total del sistema con cierta probabilidad

Este comportamiento sugiere motivaciones posiblemente relacionadas con geopolítica o intentos deliberados de evitar determinados países.

El futuro de los ataques a la cadena de suministro

La campaña Mini Shai-Hulud demuestra cómo los ataques modernos a la cadena de suministro están evolucionando desde compromisos aislados hacia operaciones automatizadas basadas en identidades, pipelines CI/CD y confianza federada.

El abuso de:

• Tokens OIDC
• GitHub Actions
• Publicación confiable
• Atestiguaciones SLSA
• Dependencias open source

convierte estos ataques en amenazas extremadamente difíciles de detectar mediante controles tradicionales.

Los expertos recomiendan a las organizaciones implementar:

• Monitoreo conductual de pipelines
• Revisión continua de dependencias
• Segmentación de permisos OIDC
• Restricciones de workflows GitHub Actions
• Protección avanzada de secretos CI/CD
• Verificación estricta de procedencia de paquetes

La campaña atribuida a TeamPCP podría convertirse en uno de los casos más influyentes en la evolución reciente de las amenazas contra ecosistemas open source y desarrollo moderno de software.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login