Una campaña de malware que se propaga rápidamente ha infectado cientos de paquetes de software en los principales registros de código abierto, incorporando código de robo de credenciales en herramientas de desarrollo descargadas millones de veces por semana.

El ataque, denominado “mini Shai-Hulud”, tuvo como objetivo bibliotecas de software destacadas, incluidas TanStack, UiPath y MistralAI. Solo el paquete React Router de TanStack representa más de 12 millones de descargas semanales, lo que coloca el código malicioso en lo más profundo de la cadena de suministro de software de las aplicaciones empresariales modernas.

En una publicación de blogTanstack dijo que los equipos de seguridad han retirado del registro todas las versiones de software comprometidas. Si bien no hay evidencia de que se hayan robado las contraseñas de registro, los expertos instan a cualquiera que haya descargado las herramientas afectadas el lunes a cambiar inmediatamente todas las credenciales de nube, servidor y desarrollador conectados, incluidos Amazon Web Services, Google Cloud y GitHub.

El incidente pone de relieve una vulnerabilidad sistémica en la publicación automatizada de software. Las actualizaciones comprometidas eludieron con éxito la autenticación de dos factores y portaron firmas de procedencia criptográficamente válidas. Estas firmas verificaron que los paquetes se originaron en las canalizaciones de integración continua correctas, pero no detectaron que las canalizaciones mismas habían sido manipuladas para autorizar código malicioso.

Los investigadores de seguridad atribuyen la campaña a TeamPCP, un grupo cibercriminal centrado en la nube que surgió a finales de 2025 y que se especializa en automatizar ataques a la cadena de suministro y explotar la infraestructura nativa de la nube, incluidos los entornos Docker y Kubernetes. El grupo, supuestamente responsable del desarrollo anterior de Shai Hulud, introduce silenciosamente su malware en actualizaciones de software confiables, lo que les permite infectar miles de empresas a la vez sin activar alarmas de seguridad.

El grupo es conocido por su capacidad avanzada para ocultar sus huellas (como disfrazar datos robados como tráfico de mensajes anónimos) y sus agresivas tácticas de extorsión, que incluyen amenazar con borrar completamente las computadoras de las víctimas si intentan eliminar el acceso de los piratas informáticos.

Los atacantes activaron el proceso de liberación automatizado mediante una «confirmación huérfana»: código enviado a una bifurcación del repositorio sin una rama correspondiente. Esto les permitió explotar permisos demasiado amplios en los flujos de trabajo de GitHub Actions. Luego, el malware se entregó a través de una dependencia oculta que obtenía una carga útil de 2,3 megabytes muy ofuscada disfrazada de módulo de inicialización.

Tras su ejecución, el malware utiliza Bun (un motor de software de alta velocidad diseñado para ejecutar JavaScript) para robar sistemáticamente claves de seguridad y contraseñas. Se dirige a la infraestructura de la nube de alto nivel, incluidos AWS, Google Cloud Platform, Kubernetes y HashiCorp Vault. El código está diseñado para infiltrarse en redes de nube de Amazon altamente seguras. Al mismo tiempo, rastrea la computadora local del desarrollador en busca de archivos secretos y claves SSH utilizadas para desbloquear otros sistemas corporativos.

Operando como un gusano autopropagante, publica copias de sí mismo en esos proyectos, falsificando su actividad para que aparezca como confirmaciones automatizadas del bot Anthropic Claude. En una medida de extorsión secundaria, el malware genera un nuevo token de registro que contiene una nota de rescate en su descripción, amenazando con un borrado destructivo de la computadora si la víctima intenta revocar el acceso comprometido.

A pesar de las propiedades del malware, los investigadores dijeron a CyberScoop que no lo han visto propagarse.

«Vimos una propagación comunitaria muy limitada», dijo Charlie Eriksen, investigador de seguridad de la firma de seguridad de aplicaciones Aikido Security.

Para mantener el acceso continuo a las estaciones de trabajo de los desarrolladores, el malware se integra en los archivos de configuración de herramientas de desarrollo populares, en particular Visual Studio Code y Claude Code de Anthropic. Esto garantiza que los scripts maliciosos se ejecuten automáticamente cada vez que un desarrollador abre un proyecto o inicia una sesión de codificación de IA.

Stephen Thoemmes, defensor senior de desarrolladores de Snyk, dijo a CyberScoop que este es un punto ciego particular para este tipo de ataques.

«Los directorios como .claude/ y .vscode/ normalmente están excluidos del control de versiones a través de .gitignore y rara vez se analizan como superficies de ataque viables», dijo Thoemmes. «Si bien estos sistemas de tareas y enlaces proporcionan una valiosa automatización para el trabajo legítimo, ofrecen un entorno de ejecución silenciosa para el código malicioso. Para contrarrestar esto, los desarrolladores deben dejar de tratar estas configuraciones locales como benignas y comenzar a aplicar la misma auditoría de seguridad rigurosa a sus directorios de herramientas como lo harían con su infraestructura de producción».

Para evitar la detección, los datos robados se extraen mediante Session, una aplicación de mensajería anónima que rebota datos a través de una red descentralizada. Al disfrazar el robo como tráfico de chat ordinario y cifrado, los piratas informáticos se mezclan con la actividad normal de la red. Esto permite a los atacantes deshacerse por completo de los servidores de «comando» tradicionales que los equipos de seguridad corporativos suelen buscar y bloquear.

El éxito de la campaña “Mini Shai-Hulud” expone un importante punto ciego en la seguridad del software: las defensas actuales verifican de dónde proviene una actualización, pero no si el código que contiene es realmente seguro. Al secuestrar los propios sistemas automatizados de los desarrolladores, los atacantes pudieron estampar su malware con firmas digitales oficiales, lo que demuestra que los atacantes pueden eludir las salvaguardias modernas simplemente utilizando las propias herramientas de una empresa en su contra.

El director ejecutivo de Socket, Feross Aboukhadijeh, dijo a CyberScoop que las organizaciones deben buscar señales de que se instaló una versión de paquete comprometida en CI/CD o entornos de desarrollador, conexiones salientes inesperadas a la infraestructura de la campaña, cambios sospechosos en los archivos de bloqueo de paquetes, publicaciones inusuales de paquetes por parte de sus propios mantenedores o sistemas de CI, y artefactos de persistencia en los directorios de herramientas de los desarrolladores.

«No existe un único interruptor centralizado para este tipo de campaña», afirmó Aboukhadjieh. «La parte difícil es que cuando se confirma un paquete malicioso, es posible que ya se haya instalado dentro de los entornos exactos que los atacantes más desean: máquinas de desarrollo y ejecutores de CI. Puede extraer un paquete del registro, pero no puede retirar automáticamente las credenciales que ya haya robado».

Si bien estos paquetes son mantenidos por voluntarios, Eriksen dijo que el incidente es un gran problema para las empresas debido a la cantidad de equipos de desarrollo que utilizan el software en sus productos y servicios.

«Esto no es una cuestión de 'voluntario' versus corporativo», dijo Eriksen a CyberScoop. «Este es un problema que afecta a toda la sociedad».

Aboukhadjieh dijo a CyberScoop que estos continuos ataques a paquetes populares de software de código abierto son parte de «un análisis más amplio sobre cómo la industria del software consume el código abierto».

«Esta campaña muestra cuán delgada se ha vuelto la línea entre una herramienta de desarrollo y una infraestructura crítica», dijo. «Cuando los atacantes comprometen herramientas que ya son confiables dentro de los sistemas de compilación, no tienen que irrumpir directamente en todas las empresas. Pueden aprovechar la confianza que esas herramientas ya tienen».