CIBERPLANETA_
🔴 SEVERIDAD CRÍTICA 18 Jun 2026 02:20

Alerta de Seguridad: TanStack Router – Publicación de Malware de Robo de Credenciales vía npm (CVE-2026-45321)

cve tanstack tanstack ioc supply-chain npm credential-theft cisa-kev
Alerta de Seguridad: TanStack Router – Publicación de Malware de Robo de Credenciales vía npm (CVE-2026-45321)

// resumen_ejecutivo

Vulnerabilidad en TanStack permitió publicar versiones maliciosas en npm bajo identidad legítima, distribuyendo malware de robo de credenciales a la cadena de suministro.

// descripcion_detallada

Contexto técnico: CVE-2026-45321 afecta al ecosistema de paquetes de TanStack (conocido por librerías como TanStack Router, TanStack Query, etc.) publicados en el registro de paquetes npm. La vulnerabilidad describe un compromiso en el proceso de publicación del paquete que permitió a actores maliciosos publicar versiones troyanizadas bajo la identidad legítima y de confianza de TanStack en npm.

Mecanismo del exploit (Supply Chain Attack / Ataque a la Cadena de Suministro): El atacante explotó una debilidad no especificada en los controles de integridad o autenticación del proceso de publicación a npm. Como resultado, se publicaron versiones del paquete que contenían credential-stealing malware (malware de robo de credenciales). Dado que el paquete aparecía firmado o publicado bajo el namespace oficial de TanStack, los desarrolladores y pipelines de CI/CD que instalaron o actualizaron a las versiones comprometidas ejecutaron código malicioso sin indicios visibles de compromiso. Este vector es especialmente peligroso porque aprovecha la confianza depositada en un proveedor legítimo y ampliamente utilizado.

Impacto potencial:

  • Robo de credenciales: El malware incluido en las versiones comprometidas tiene capacidad de extraer credenciales del entorno de desarrollo o producción (tokens de API, secretos de CI/CD, credenciales de nube, variables de entorno, etc.).
  • Compromiso de pipelines CI/CD: Los entornos de integración continua que consumen paquetes npm de forma automática son vectores de propagación masiva.
  • Movimiento lateral y persistencia: Las credenciales robadas pueden facilitar el acceso inicial a infraestructuras corporativas, repositorios de código o servicios cloud.
  • Impacto en la cadena de suministro de software: Cualquier aplicación que dependa (directa o transitivamente) del paquete afectado puede estar comprometida.

Estado de explotación: Incluida en el catálogo CISA KEV (Known Exploited Vulnerabilities), lo que confirma explotación activa y real en entornos productivos. La puntuación CVSS oficial no está disponible aún al momento de la publicación de este boletín. La fecha límite de remediación FCEB es el 10 de junio de 2026. No se ha confirmado asociación directa con ransomware, aunque el robo de credenciales es un precursor habitual de ataques de ransomware.

// vectores_de_ataque

Ataque a la cadena de suministro de software (Supply Chain Attack) vía registro npm. El vector implica la distribución de malware de robo de credenciales (Credential Theft Malware) bajo una identidad de paquete legítima y de confianza. No constituye RCE directo desde red, sino ejecución de código malicioso en tiempo de instalación o importación del paquete (install scripts / código troyanizado en el módulo), con potencial de escalar a compromiso total del entorno del desarrollador o pipeline CI/CD.

// indicadores_de_compromiso 1 tipo

CVEs (1)
CVE-2026-45321

// recomendaciones_de_mitigacion

  • Aplicar instrucciones del fabricante: Consultar el advisory oficial de seguridad de TanStack en GitHub Security Advisories (GHSA-g7cv-rxg3-hmpx) para identificar las versiones exactas comprometidas y las versiones corregidas disponibles.
  • Auditar dependencias npm: Revisar el árbol de dependencias (npm list / npm audit) para identificar si alguna versión comprometida de TanStack está instalada en proyectos propios o en pipelines CI/CD.
  • Verificar integridad de paquetes instalados: Comparar los hashes de los paquetes instalados con los publicados en la versión oficial saneada. Utilizar herramientas como npm audit signatures (disponible desde npm CLI v8.x).
  • Revocar y rotar credenciales expuestas: Si se instalaron versiones comprometidas, asumir compromiso de credenciales y rotar inmediatamente: tokens de API, secretos de CI/CD (GitHub Actions, GitLab CI, Jenkins, etc.), credenciales de servicios cloud (AWS, Azure, GCP), variables de entorno con información sensible.
  • Revisar logs de acceso y actividad anómala: Analizar logs de acceso a repositorios de código fuente, registros de cloud y actividad de red en busca de exfiltración de datos o accesos no autorizados posteriores a la instalación del paquete comprometido.
  • Actualizar a la versión parcheada: Actualizar a la versión más reciente de los paquetes TanStack afectados, confirmada como segura en el advisory oficial (GHSA-g7cv-rxg3-hmpx). Ejecutar npm update o actualizar manualmente las entradas en package.json.
  • Implementar controles de Supply Chain: Configurar políticas de bloqueo de versiones (package-lock.json / npm shrinkwrap), utilizar registros privados con escaneo de malware, y considerar herramientas de análisis de dependencias como Snyk, Socket.dev o Dependabot.
  • Seguir la guía BOD 22-01 de CISA para servicios en la nube en caso de que aplique al entorno afectado. Si no es posible aplicar mitigaciones, discontinuar el uso del producto según indica CISA.
  • Notificación interna: Comunicar el incidente a los equipos de desarrollo, seguridad y operaciones. Evaluar si es necesaria una notificación a autoridades o clientes según la regulación aplicable (GDPR, ENS, etc.).

// referencias_externas

[INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·