Table of Contents
Un importante ataque de cadena de suministro (Supply Chain Attack) comprometió 84 paquetes publicados en npm bajo el ecosistema de TanStack, una de las bibliotecas más utilizadas por desarrolladores JavaScript. La campaña fue atribuida al grupo de ciberdelincuentes ShinyHunters y tenía como objetivo robar credenciales almacenadas en entornos de desarrollo y sistemas de integración continua (CI).
El incidente fue detectado por investigadores de Socket, quienes calificaron la amenaza como de alta severidad debido al enorme alcance potencial del ataque.
¿Qué ocurrió?
Los atacantes publicaron 84 versiones maliciosas correspondientes a 42 paquetes de TanStack, incluyendo bibliotecas ampliamente utilizadas como @tanstack/react-router, que registra más de 12 millones de descargas semanales.
Las versiones comprometidas estuvieron disponibles en npm durante un corto periodo, aproximadamente entre las 19:20 y las 19:30 UTC, tiempo suficiente para que numerosos proyectos pudieran descargarlas automáticamente.
El malware robaba credenciales
Cada paquete incluía un archivo oculto llamado router_init.js, de aproximadamente 2.3 MB, protegido mediante técnicas avanzadas de ofuscación para dificultar su detección.
Según los investigadores, el malware era capaz de exfiltrar información sensible como:
- Tokens de GitHub Actions.
- Credenciales de AWS.
- Credenciales de Google Cloud Platform (GCP).
- Secretos de Kubernetes.
- Tokens de HashiCorp Vault.
- Claves SSH.
- Archivos
.npmrc.
Toda esta información podía ser enviada a servidores controlados por los atacantes.
Aprovecharon GitHub Actions
La investigación posterior reveló que el ataque no comprometió directamente las cuentas de npm.
En cambio, los ciberdelincuentes explotaron una combinación de vulnerabilidades y malas configuraciones dentro de GitHub Actions, incluyendo:
- Abuso del evento pull_request_target.
- Envenenamiento de la caché de GitHub Actions.
- Robo de un token OIDC desde la memoria del ejecutor.
Con estas técnicas lograron autenticarse como publicadores legítimos y subir las versiones maliciosas directamente al registro oficial de npm.
También modificaron las dependencias
Los paquetes comprometidos añadían una dependencia opcional sospechosa:
@tanstack/setup:github:tanstack/router#79ac49ee...
Durante la instalación, esta dependencia ejecutaba automáticamente un script mediante el evento prepare, permitiendo que el malware se ejecutara incluso antes de compilar el proyecto.
TanStack respondió de inmediato
Tras detectar el incidente, TanStack y el equipo de seguridad de npm realizaron varias acciones:
- Marcaron las 84 versiones comprometidas como obsoletas.
- Eliminaron los archivos maliciosos del registro de npm.
- Limpiaron la caché de GitHub Actions.
- Reforzaron los flujos de trabajo para evitar futuros ataques.
- Implementaron controles adicionales sobre las acciones de terceros.
¿Qué deben hacer los desarrolladores?
Los especialistas recomiendan que cualquier persona que haya instalado paquetes @tanstack/ durante la ventana del ataque considere su equipo como potencialmente comprometido.
Entre las medidas urgentes se encuentran:
- Rotar todas las credenciales de GitHub, AWS, GCP y otros servicios.
- Cambiar las claves SSH.
- Revisar los registros de actividad en servicios en la nube.
- Restaurar dependencias utilizando un lockfile confiable.
- Verificar que ninguna dependencia incluya la referencia al commit malicioso
79ac49ee.
Un nuevo ejemplo de los ataques a la cadena de suministro
Este incidente vuelve a demostrar el creciente interés de los grupos de ciberdelincuencia por atacar la cadena de suministro del software, una técnica que permite comprometer miles de proyectos legítimos mediante la manipulación de bibliotecas ampliamente utilizadas.
Dado que TanStack forma parte de innumerables aplicaciones web modernas, los investigadores consideran que el impacto potencial del ataque podría extenderse a una gran parte del ecosistema JavaScript si las organizaciones no revisan sus dependencias y credenciales comprometidas.
