Mini Shai-Hulud: viermele care a compromis TanStack, Mistral AI și ecosistemul dezvoltatorilor de AI

 Pe 11 mai 2026, grupul TeamPCP a lansat cel mai sofisticat atac coordonat asupra lanțului de aprovizionare software din 2026: pachete npm și PyPI compromise care au furat credențiale CI/CD, s-au autoreplicat prin pipeline-uri legitime și au produs — pentru prima oară în istorie — pachete malițioase cu atestări SLSA valide.

13 mai 2026·Securitate · Supply Chain·~6 min citire

---

170+

pachete compromise

518M

descărcări cumulate

400+

repo-uri create cu credențiale furate

6 min

detectat de StepSecurity

Între 19:20 și 19:26 UTC pe 11 mai 2026, 84 de versiuni malițioase ale pachetelor din ecosistemul @tanstack au apărut pe npm — nu publicate de un atacator care a furat parole, ci prin pipeline-ul de release legitim al TanStack, folosind identitatea sa OIDC de încredere. În orele care au urmat, compromisul s-a extins la Mistral AI, UiPath, OpenSearch, Guardrails AI și zeci de alți mentenanți.

Cum a funcționat atacul — pas cu pas

1

Fork fabricat + commit cu identitate falsă

Pe 10 mai, atacatorul a creat un fork al TanStack/router sub contul zblgg, redenumindu-l zblgg/configuration pentru a evita apariția în listele de fork-uri. Commit-ul malițios a fost semnat cu identitatea fabricată claude <claude@users.noreply.github.com> — imitând aplicația GitHub a Anthropic Claude — și prefixat cu [skip ci] pentru a suprima CI-ul automat.

2

Pwn Request + cache poisoning GitHub Actions

Un pull request a declanșat workflow-ul pull_request_target al TanStack, care a executat codul din fork-ul atacatorului. Acesta a otrăvit cache-ul GitHub Actions cu un pnpm store malițios, injectând payload-ul în pachetele npm construite ulterior de pipeline.

3

Extragere token OIDC din memorie + publicare legitimă

Codul din cache a extras token-ul OIDC al runnerului GitHub Actions din memorie la runtime. Cu acest token, atacatorul a publicat 84 de versiuni malițioase prin pipeline-ul legitim TanStack, cu atestări SLSA Build Level 3 valide generate prin Sigstore.

npm publish @tanstack/react-router@... # via pipeline legitim, OIDC furat

4

Autopropagare prin CI/CD-ul victimelor

Payload-ul fura credențiale npm, GitHub tokens, chei cloud și CI/CD secrets de pe sistemul infectat, le exfiltra prin trei canale redundante (domeniu typosquat, rețeaua Session, GitHub API dead drops) și le folosea imediat pentru a compromite și publica noi versiuni malițioase din alte pachete ale aceluiași mentenantor.

5

Opțional: distrugere completă la revocare token

Dacă administratorul revoca token-ul npm înainte de a izola sistemul, script-ul declanșa o rutină distructivă.

⚠️ Nu revocați token-ul npm înainte de a izola sistemul

La detectarea revocării token-ului, malware-ul execută automat:
rm -rf ~/
Aceasta transformă malware-ul într-un wiper care șterge complet directorul home al utilizatorului. Izolați și fotografiați sistemul înainte de orice revocare de credențiale.

Pachete afectate

@tanstack/react-routernpm · 12.7M descărcări/săpt.

@tanstack/vue-routernpm · compromis în aceeași undă

@mistralai/mistralainpm · SDK oficial TypeScript

@mistralai/mistralai-azurenpm · SDK Azure

@uipath/apollo-corenpm · 65 pachete compromise

opensearch-jsnpm · 1.3M descărcări/săpt.

mistralai==2.4.6PyPI · carantinată

guardrails-ai==0.10.1PyPI · carantinată

intercom-client@7.0.4npm · propagare ulterioară

Premiera absolută: SLSA Build Level 3 pe pachete malițioase

🔐 Prima dovadă că atestările de proveniență nu garantează siguranța

TanStack had 2FA activat, publicare OIDC și atestări Sigstore pe fiecare release. Mini Shai-Hulud a publicat 84 de versiuni malițioase cu toate acestea intacte. Prin furtul token-ului OIDC la runtime — nu al credențialelor statice — atacatorul a utilizat același stack Sigstore legitim pentru a genera atestări SLSA Build Level 3 valide pentru pachete malițioase. Aceasta este prima instanță documentată a unui vierme npm care produce pachete malițios-atestante valide. Comanda npm audit signatures ar fi returnat un rezultat curat.

„Această campanie reflectă o schimbare mai largă în atacurile supply chain — de la compromisul izolat al unui pachet la propagarea bazată pe identitate prin infrastructura CI/CD de încredere. Odată ce atacatorii obțin acces la workflow-urile de publicare, procesul de livrare software devine el însuși mecanismul de distribuție."
— Avital Harel, Security Research Lead, Upwind

PyPI vs npm: două payload-uri diferite

Pachetele PyPI compromise (Mistral AI și Guardrails AI) funcționează diferit față de variantele npm: nu se activează la instalare, ci la import mistralai sau import guardrails. Codul malițios, de doar 13 linii, descarcă transformers.pyz de pe domeniul controlat de atacator — un nume ales deliberat pentru a imita Hugging Face Transformers și a se camufla în mediile ML. Payload-ul rulează exclusiv pe Linux și iese dacă detectează setări de limbă rusă sau mai puțin de patru CPU-uri.

Pachetele PyPI compromise fură și parole din password managere (1Password, Bitwarden) — o escaladare față de campaniile anterioare care vizau exclusiv credențiale de dezvoltator. Wiz a identificat și un al treilea canal redundant de exfiltrare: domeniul typosquat git-tanstack[.]com, în plus față de rețeaua Session și GitHub API.

Contextul campaniei — valuri anterioare TeamPCP

Mini Shai-Hulud nu este un atac izolat. TeamPCP a mai compromis: Aqua Security Trivy (martie 2026), Bitwarden CLI npm (aprilie 2026), lightning PyPI (30 aprilie 2026). Valurile anterioare din septembrie și noiembrie 2025 au folosit aceeași suită worm Shai-Hulud, nefiind atribuite atunci lui TeamPCP. Fiecare val a crescut în sofisticare tehnică — valul patru este primul care produce pachete cu atestări de proveniență valide.

Ce trebuie să faceți dacă ați rulat npm install pe 11 mai

• 🔒Izolați și fotografiați sistemul ÎNAINTE de orice revocare de tokenRevocarea token-ului npm declanșează rutina rm -rf ~/ pe sisteme compromise.
• 🔑Rotiți toate credențialele de pe sistemul afectatGitHub tokens, npm tokens, chei cloud (AWS, GCP, Azure), SSH keys, variabile de mediu CI/CD.
• 📋Auditați rulările GitHub Actions de după 2026-05-11T19:20ZCăutați evenimente npm publish neașteptate și conexiuni outbound la filev2.getsession.org sau git-tanstack[.]com.
• 🔍Nu vă bazați pe SLSA provenance ca indicator de siguranțăPachetele malițioase din acest atac au atestări SLSA BL3 valide. Proveniența criptografică confirmă sursa build-ului, nu absența compromisului.
• 🚫Blocați la nivel DNS/proxygit-tanstack.com și *.getsession.org
• 🐍Orice aplicație care a importat mistralai sau guardrails în fereastra atacului trebuie tratată ca potențial compromisăChiar dacă instalarea a rulat în mediu sandbox, importul Python execută payload-ul.