Mistral AI y TanStack fueron atacados en su cadena de suministro con malware atestiguado por SLSA

Los atacantes comprometieron el paquete oficial de Python de Mistral AI en PyPI, junto con cientos de otros paquetes para desarrolladores ampliamente utilizados, exponiendo tokens de GitHub,denten la nube y bóvedas de contraseñas en todo el ecosistema de desarrolladores de IA y criptomonedas.

El equipo de inteligencia de amenazas de Microsoft anunció el 11 de mayo que estaba investigando la versión 2.4.6 del paquete PyPI mistralai tras descubrir código malicioso inyectado en mistralai/client/__init__.py que se ejecutaba al importarlo, descargando una carga útil secundaria desde 83.142.209.194 a /tmp/transformers.pyz y ejecutándola en sistemas Linux.

Microsoft está investigando la vulnerabilidad del paquete PyPI mistralai v2.4.6. Los atacantes inyectaron código en mistralai/client/__init__.py que se ejecuta al importarlo, descarga hxxps://83[.]142[.]209[.]194/transformers.pyz a /tmp/transformers.pyz y lanza una carga útil de segunda etapa en Linux.… pic.twitter.com/9Xfb07Hcia

— Microsoft Threat Intelligence (@MsftSecIntel) 12 de mayo de 2026

El nombre del archivo imita el marco de IA Transformers, ampliamente utilizado por Hugging Face. El ataque Mistral es una pieza de una campaña coordinada que los investigadores denominan Mini Shai-Hulud.

La plataforma de seguridad SafeDep informó que la operación comprometió más de 170 paquetes y publicó 404 versiones maliciosas entre el 11 y el 12 de mayo.

El ataque presenta la vulnerabilidad CVE-2026-45321 con una puntuación CVSS de 9,6, lo que lo clasifica como de gravedad crítica.

El modelo de fideicomiso de procedencia de SLSA acaba de romperse

Lo que hace que este ataque sea estructuralmente sindentes que los paquetes maliciosos contenían certificados de procedencia SLSA Build Level 3 válidos.

La procedencia SLSA es un certificado criptográfico generado por Sigstore destinado a verificar que un paquete se ha compilado a partir de una fuente de confianza.

Según Snyk, el ataque a TanStack es el primer caso documentado de paquetes npm maliciosos con procedencia SLSA válida, lo que significa que las defensas de la cadena de suministro basadas en la certificación son ahora demostrablemente insuficientes.

Los atacantes,dentcomo TeamPCP, encadenaron tres vulnerabilidades: una configuración incorrecta del flujo de trabajo pull_request_target, un envenenamiento de la caché de GitHub Actions y latracen tiempo de ejecución de un token OIDC del proceso del ejecutor de GitHub Actions.

La confirmación maliciosa fue creada bajo unadentque suplantaba la aplicación de GitHub de Anthropic Claude, con el prefijo [skip ci] para suprimir las comprobaciones automatizadas.

Qué roba el malware y cómo se propaga

Tal como Cryptopolitan informó de Trust Wallet en enero de 2026,dent vinculado a pérdidas de 8,5 millones de dólares, el gusano Shai-Hulud ha estado evolucionando a través de múltiples oleadas desde septiembre de 2025.

Esta última variante añade el robo de bóvedas de contraseñas, y los investigadores de Wiz documentan que el malware ahora ataca las bóvedas de 1Password y Bitwarden, además de las claves SSH, lasdent, las cuentas de servicio de Kubernetes, los tokens de GitHub y las credenciales de publicación dedent.

El ladrón se filtra a través de tres canales redundantes: un dominio typosquat (git-tanstack.com), la red descentralizada de mensajería Session y repositorios de GitHub con temática de Dune creados con tokens robados.

El malware se cierra si se detecta la configuración de idioma ruso. En sistemas geolocalizados en Israel o Irán, introduce una probabilidad de 1 entre 6 de ejecutar un borrado recursivo (rm -rf /).

Cómo respondieron Mistral y el ecosistema en general

Mistral publicó un aviso de seguridad en el que afirmaba que su infraestructura principal no se había visto comprometida. La compañía traceldent a un dispositivo de desarrollador comprometido, vinculado a la campaña más amplia de la cadena de suministro de TanStack.

La versión mistralai==2.4.6 se subió poco después de la medianoche UTC del 12 de mayo, antes de que PyPI pusiera el proyecto en cuarentena.

Los paquetes npm comprometidos, incluidos @mistralai/mistralai, @mistralai/mistralai-azure y @mistralai/mistralai-gcp, estuvieron disponibles durante varias horas antes de ser eliminados.

El volumen acumulado de descargas semanales de los paquetes comprometidos supera los 518 millones. Solo @tanstack/react-router recibe 12,7 millones de descargas semanales.

Se recomienda a los desarrolladores que hayan instalado versiones afectadas que roten susdent, tokens de GitHub, claves SSH y claves API de intercambio, e inspeccionen .claude/ y .vscode/ en busca de ganchos de persistencia.