Mistral AI y TanStack atacan la cadena de suministro con malware certificado por SLSA

Los atacantes comprometieron el paquete oficial Mistral AI Python en PyPI junto con cientos de otros paquetes de desarrolladores ampliamente utilizados, exponiendo tokens de GitHub, credenciales de nube y bóvedas de contraseñas en todo el ecosistema de desarrolladores de IA y criptografía.

Microsoft Threat Intelligence dijo el 11 de mayo que estaba investigando la versión 2.4.6 del paquete mistralai PyPI después de descubrir un código malicioso inyectado en mistralai/client/__init__.py que se ejecutó en la importación, descargando una carga útil secundaria de 83.142.209.194 a /tmp/transformers.pyz y ejecutándola en sistemas Linux.

Microsoft está investigando el compromiso del paquete PyPI v2.4.6 de Mistralai. Los atacantes inyectaron código en mistralai/client/__init__.py que se ejecuta al importar, descarga hxxps://83[.]142[.]209[.]194/transformers.pyz a /tmp/transformers.pyz y lanza una carga útil de segunda etapa en Linux.… pic.twitter.com/9Xfb07Hcia

– Inteligencia de amenazas de Microsoft (@MsftSecIntel) 12 de mayo de 2026

El nombre del archivo se hace pasar por el marco de IA Transformers ampliamente utilizado de Hugging Face. El compromiso de Mistral es una parte de una campaña coordinada que los investigadores llaman Mini Shai-Hulud.

La plataforma de seguridad SafeDep informó que la operación comprometió más de 170 paquetes y publicó 404 versiones maliciosas entre el 11 y 12 de mayo.

El ataque lleva CVE-2026-45321 con una puntuación CVSS de 9,6, lo que lo califica de gravedad crítica.

El modelo de confianza de procedencia SLSA acaba de fracasar

Lo que hace que este ataque sea estructuralmente sin precedentes: los paquetes maliciosos llevaban certificaciones de procedencia válidas de SLSA Build Nivel 3.

La procedencia SLSA es un certificado criptográfico generado por Sigstore destinado a verificar que un paquete se creó a partir de una fuente confiable.

Snyk informó que el ataque TanStack es el primer caso documentado de paquetes npm maliciosos con procedencia SLSA válida, lo que significa que las defensas de la cadena de suministro basadas en certificaciones ahora son demostrablemente insuficientes.

Los atacantes, identificados como TeamPCP, encadenaron tres vulnerabilidades: una mala configuración del flujo de trabajo pull_request_target, envenenamiento de la caché de GitHub Actions y extracción de memoria en tiempo de ejecución de un token OIDC del proceso de ejecución de GitHub Actions.

La confirmación maliciosa fue creada bajo una identidad fabricada que se hace pasar por la aplicación Anthropic Claude GitHub, con el prefijo [skip ci] para suprimir las comprobaciones automáticas.

Qué roba el malware y cómo se propaga

Como informó Cryptopolitan sobre el incidente de Trust Wallet de enero de 2026 vinculado a pérdidas de 8,5 millones de dólares, el gusano Shai-Hulud ha estado evolucionando en múltiples oleadas desde septiembre de 2025.

Esta última variante agrega el robo de bóvedas de contraseñas, y los investigadores de Wiz documentan que el malware ahora apunta a las bóvedas de 1Password y Bitwarden junto con claves SSH, credenciales de AWS y GCP, cuentas de servicio de Kubernetes, tokens de GitHub y credenciales de publicación de npm.

El ladrón se filtra a través de tres canales redundantes: un dominio typosquat (git-tanstack.com), la red descentralizada de mensajería Session y repositorios GitHub con temática de Dune creados con tokens robados.

El malware sale si se detecta la configuración del idioma ruso. En sistemas geolocalizados en Israel o Irán, introduce una probabilidad de 1 entre 6 de ejecutar un borrado recursivo (rm -rf /).

Cómo respondieron Mistral y el ecosistema en general

Mistral publicó un aviso de seguridad el 12 de mayo diciendo que su infraestructura central no estaba comprometida. La compañía rastreó el incidente hasta un dispositivo de desarrollador comprometido vinculado a la campaña más amplia de la cadena de suministro de TanStack.

La versión mistralai==2.4.6 se cargó poco después de la medianoche UTC del 12 de mayo, antes de que PyPI pusiera el proyecto en cuarentena.

Los paquetes npm comprometidos, incluidos @mistralai/mistralai, @mistralai/mistralai-azure y @mistralai/mistralai-gcp, estuvieron disponibles durante varias horas antes de su eliminación.

El volumen de descarga semanal acumulado de los paquetes comprometidos supera los 518 millones. Solo @tanstack/react-router recibe 12,7 millones de descargas semanales.

Se recomienda a los desarrolladores que instalaron versiones afectadas que roten las credenciales de la nube, tokens de GitHub, claves SSH e intercambien claves API, e inspeccionen los directorios .claude/ y .vscode/ en busca de enlaces de persistencia.