Mistral AI y TanStack afectados en un ataque a la cadena de suministro con malware certificado por SLSA

Los atacantes comprometieron el paquete oficial de Python de Mistral AI en PyPI junto con cientos de otros paquetes ampliamente utilizados por desarrolladores, exponiendo tokens de GitHub, credenciales en la nube y bóvedas de contraseñas en el ecosistema de desarrolladores de IA y criptomonedas.

Microsoft Threat Intelligence dijo el 11 de mayo que estaba investigando la versión 2.4.6 del paquete mistralai en PyPI después de descubrir un código malicioso inyectado en mistralai/client/init.py que se ejecutaba al importar, descargando una carga útil secundaria desde 83.142.209.194 a /tmp/transformers.pyz y lanzándola en sistemas Linux.

Microsoft está investigando la compromisión del paquete mistralai en PyPI v2.4.6. Los atacantes inyectaron código en mistralai/client/init.py que se ejecuta al importar, descarga hxxps://83[.]142[.]209[.]194/transformers.pyz a /tmp/transformers.pyz, y lanza una carga útil de segunda etapa en Linux.… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 12 de mayo de 2026

El nombre de archivo impersona el ampliamente utilizado marco de IA Transformers de Hugging Face. La compromisión de Mistral es una pieza de una campaña coordinada que los investigadores llaman Mini Shai-Hulud.

La plataforma de seguridad SafeDep informó que la operación comprometió más de 170 paquetes y publicó 404 versiones maliciosas entre el 11 y el 12 de mayo.

El ataque lleva la vulnerabilidad CVE-2026-45321 con una puntuación CVSS de 9.6, calificándola como de severidad crítica.

El modelo de confianza de procedencia SLSA acaba de romperse

Lo que hace que este ataque sea estructuralmente sin precedentes: los paquetes maliciosos llevaban attestaciones de procedencia SLSA Build Level 3 válidas.

La procedencia SLSA es un certificado criptográfico generado por Sigstore destinado a verificar que un paquete fue construido desde una fuente confiable.

Snyk informó que el ataque TanStack es el primer caso documentado de paquetes npm maliciosos con procedencia SLSA válida, lo que significa que las defensas basadas en attestaciones en la cadena de suministro ahora son demostrablemente insuficientes.

Los atacantes, identificados como TeamPCP, encadenaron tres vulnerabilidades: una mala configuración del flujo de trabajo pull_request_target, envenenamiento de caché de GitHub Actions y extracción de memoria en tiempo de ejecución de un token OIDC del proceso del corredor de GitHub Actions.

El commit malicioso fue creado bajo una identidad fabricada que impersonaba la aplicación de GitHub de Anthropic Claude, con el prefijo [skip ci] para suprimir las verificaciones automatizadas.

Qué roba el malware y cómo se propaga

Como reportó Cryptopolitan sobre el incidente de Trust Wallet en enero de 2026 vinculado a pérdidas de 8.5 millones de dólares, el gusano Shai-Hulud ha ido evolucionando en varias oleadas desde septiembre de 2025.

Esta última variante añade robo de bóvedas de contraseñas, con investigadores de Wiz documentando que el malware ahora apunta a bóvedas de 1Password y Bitwarden junto con claves SSH, credenciales de AWS y GCP, cuentas de servicio de Kubernetes, tokens de GitHub y credenciales para publicar en npm.

El ladrón exfiltra a través de tres canales redundantes: un dominio typosquatt (git-tanstack.com), la red descentralizada de mensajería Session, y repositorios de GitHub temáticos de Dune creados con tokens robados.

El malware se detiene si se detectan configuraciones de idioma en ruso. En sistemas geolocalizados en Israel o Irán, introduce una probabilidad de 1 en 6 de ejecutar un borrado recursivo (rm -rf /).

Cómo respondieron Mistral y el ecosistema en general

Mistral publicó un aviso de seguridad el 12 de mayo diciendo que su infraestructura principal no fue comprometida. La compañía rastreó el incidente hasta un dispositivo de desarrollador comprometido vinculado a la campaña más amplia de la cadena de suministro de TanStack.

La versión mistralai==2.4.6 se subió poco después de la medianoche UTC del 12 de mayo, antes de que PyPI pusiera en cuarentena el proyecto.

Paquetes npm comprometidos, incluyendo @mistralai/mistralai, @mistralai/mistralai-azure y @mistralai/mistralai-gcp, estuvieron disponibles durante varias horas antes de ser eliminados.

El volumen total de descargas semanales de los paquetes comprometidos supera los 518 millones. Solo @tanstack/react-router recibe 12.7 millones de descargas semanales.

Se recomienda a los desarrolladores que instalaron versiones afectadas que roten credenciales en la nube, tokens de GitHub, claves SSH, y cambien las claves API, además de inspeccionar los directorios .claude/ y .vscode/ en busca de ganchos de persistencia.

Si estás leyendo esto, ya estás un paso adelante. Quédate así con nuestro boletín.