Worm Mini Shai-Hulud afecta npm y obliga a OpenAI a volver a firmar aplicaciones para Windows, macOS, iOS y Android
Un ataque al pipeline de lanzamiento del proyecto TanStack comprometió 84 artefactos en 42 paquetes npm y afectó a OpenAI, que confirmó el compromiso de las claves de firma de aplicaciones para Windows, macOS, iOS y Android e inició el relanzamiento de todas las aplicaciones con nuevos certificados.
Worm Mini Shai-Hulud afecta npm y obliga a OpenAI a volver a firmar aplicaciones para Windows, macOS, iOS y Android
Un ataque de cadena de suministro contra el ecosistema npm comprometió 84 artefactos publicados en 42 paquetes del proyecto @tanstack el 11 de mayo. El incidente, atribuido al grupo TeamPCP y bautizado por los investigadores como Mini Shai-Hulud, repercutió la semana siguiente con OpenAI confirmando que dos dispositivos corporativos se vieron afectados y que las claves de firma de sus aplicaciones para Windows, macOS, iOS y Android estaban entre los activos comprometidos.
La mecánica del ataque toca directamente un punto ciego en los pipelines modernos. Según la descripción de TanStack, "nuestro propio pipeline de CI robó su propio token de publicación para los atacantes, en el mismo momento de la creación, a través de un caché en el que todos en la cadena confiaban implícitamente". El flujo combinó una técnica de Pwn Request en GitHub Actions, envenenamiento de caché y extracción de token OIDC. Los paquetes maliciosos se publicaron a través del pipeline oficial de TanStack, con una identidad OIDC legítima, después de que un código controlado por el atacante secuestrara el runner en medio del flujo de trabajo. Solo el @tanstack/react-router es responsable de más de 12,7 millones de descargas semanales.
La respuesta de OpenAI
En un comunicado oficial, OpenAI informó haber aislado los sistemas impactados, revocado sesiones de usuarios, rotado credenciales y restringido temporalmente flujos de despliegue de código. La empresa afirma no haber encontrado evidencia de acceso a datos de usuarios, compromiso de sistemas de producción o alteración de software. Aun así, las claves de firma de aplicaciones fueron tratadas como quemadas: todas las aplicaciones están siendo re-firmadas y relanzadas con nuevos certificados en las cuatro plataformas afectadas.
No es el primero ni será el último
El grupo TeamPCP es veterano. StepSecurity atribuye al mismo actor el compromiso del escáner Trivy, de Aqua Security, en marzo de 2026, y del paquete npm de Bitwarden CLI en abril. El patrón es consistente: explotar la confianza implícita en los pipelines de lanzamiento de proyectos de código abierto ampliamente utilizados en infraestructura corporativa.
Para los CISOs y los equipos de plataforma, el episodio refuerza una agenda que se venía trazando desde el ataque a SolarWinds y ganó un nuevo capítulo en el Shai-Hulud original de 2025: las firmas de paquetes deben ser validadas contra políticas, las builds reproducibles dejaron de ser un lujo, y las credenciales OIDC dentro de runners de CI son objetivos de alto valor. Reaccionar es un poco tarde; el trabajo es instrumentar la cadena antes del próximo episodio.