Clones do worm Shai-Hulud surgem e já são usados em ataques no npm
Após a publicação do código-fonte do worm Shai-Hulud, clones maliciosos foram detectados no npm. Um dos pacotes detectados é uma cópia quase idêntica do original, enquanto outro transforma máquinas de desenvolvedores em um botnet DDoS. Descubra os detalhes e como se proteger.
MundiX News·20 de maio de 2026·3 min de leitura·👁 4 views
Clones do worm Shai-Hulud surgem e já são usados em ataques no npm
Após a publicação do código-fonte do worm Shai-Hulud em domínio público, as primeiras cópias maliciosas (clones) dessa malware já foram detectadas no npm. Especialistas identificaram que um dos pacotes maliciosos é praticamente uma cópia exata do worm original, enquanto outro transforma as máquinas de desenvolvedores infectadas em um botnet DDoS.
Poucos dias após o grupo de hackers TeamPCP ter publicado o código-fonte do Shai-Hulud no GitHub, especialistas em segurança cibernética registraram os primeiros ataques utilizando as versões derivadas (forks) dessa malware. Por exemplo, pesquisadores da empresa Ox Security descobriram quatro pacotes maliciosos no npm, publicados pela conta deadcode09284814. Todos eles tinham como alvo o roubo de credenciais, chaves de API, configurações de serviços em nuvem e carteiras de criptomoedas de desenvolvedores.
O pacote chalk-tempalte foi o mais notável, sendo uma cópia quase inalterada do Shai-Hulud, sem qualquer ofuscação. De acordo com analistas, o código é quase idêntico ao código-fonte do worm que vazou recentemente. A malware também manteve uma das principais características do original: os dados roubados das vítimas são automaticamente carregados em repositórios públicos do GitHub. Além disso, a malware envia segredos roubados para o servidor de comando e controle 87e0bbc636999b.lhr[.]life. O worm imitador busca credenciais do GitHub, tokens, arquivos de configuração e informações de carteiras de criptomoedas. A Ox acredita que a nova campanha não é conduzida pelo próprio grupo TeamPCP, mas por imitadores que simplesmente pegaram o código publicado e começaram a usá-lo em seus próprios ataques. Isso é evidenciado pela ausência de quaisquer alterações ou mecanismos de ocultação no código da malware.
Vale lembrar que já havíamos relatado sobre uma nova onda de ataques Shai-Hulud. Recentemente, hackers do TeamPCP comprometeram centenas de pacotes no npm e PyPI com ele. Projetos como TanStack, Mistral AI, Bitwarden CLI, OpenSearch, SAP e outros foram afetados por esses ataques. A principal tarefa do worm é roubar segredos de desenvolvedores e se auto-replicar por meio de pacotes infectados. Além disso, após a publicação do código-fonte, os pesquisadores alertaram que forks e modificações do Shai-Hulud começariam a aparecer quase instantaneamente. Infelizmente, essas previsões agora estão se confirmando.
Além do chalk-tempalte, especialistas encontraram mais três pacotes maliciosos: @deadcode09284814/axios-util; axois-utils; color-style-utils. Alguns deles usaram typosquatting e se disfarçaram de pacotes para a biblioteca Axios. Todos os quatro pacotes continham stealers (ferramentas de roubo de dados), mas axois-utils não apenas rouba dados, mas também possui a funcionalidade de transformar as máquinas dos desenvolvedores em parte de um botnet DDoS. Especialistas relatam que a malware suporta ataques de inundação HTTP, TCP e UDP, bem como ataques de reset TCP. No código, os pesquisadores encontraram menções de um tal "phantom bot". Ou seja, as máquinas de desenvolvedores infectadas podem ser usadas não apenas para roubar dados, mas também para organizar ataques distribuídos.
No total, os quatro pacotes maliciosos conseguiram acumular mais de 2.600 downloads. Os pesquisadores recomendam que todos que instalaram essas dependências as removam imediatamente, reemitam suas credenciais e alterem as chaves de API. "No momento, estamos observando apenas a primeira fase de uma nova onda de ataques à cadeia de suprimentos", alertam os analistas.
Clones do worm Shai-Hulud surgem e já são usados em ataques no npm
Após a publicação do código-fonte do worm Shai-Hulud em domínio público, as primeiras cópias maliciosas (clones) dessa malware já foram detectadas no npm. Especialistas identificaram que um dos pacotes maliciosos é praticamente uma cópia exata do worm original, enquanto outro transforma as máquinas de desenvolvedores infectadas em um botnet DDoS.
Poucos dias após o grupo de hackers TeamPCP ter publicado o código-fonte do Shai-Hulud no GitHub, especialistas em segurança cibernética registraram os primeiros ataques utilizando as versões derivadas (forks) dessa malware. Por exemplo, pesquisadores da empresa Ox Security descobriram quatro pacotes maliciosos no npm, publicados pela conta deadcode09284814. Todos eles tinham como alvo o roubo de credenciais, chaves de API, configurações de serviços em nuvem e carteiras de criptomoedas de desenvolvedores.
O pacote chalk-tempalte foi o mais notável, sendo uma cópia quase inalterada do Shai-Hulud, sem qualquer ofuscação. De acordo com analistas, o código é quase idêntico ao código-fonte do worm que vazou recentemente. A malware também manteve uma das principais características do original: os dados roubados das vítimas são automaticamente carregados em repositórios públicos do GitHub. Além disso, a malware envia segredos roubados para o servidor de comando e controle 87e0bbc636999b.lhr[.]life. O worm imitador busca credenciais do GitHub, tokens, arquivos de configuração e informações de carteiras de criptomoedas. A Ox acredita que a nova campanha não é conduzida pelo próprio grupo TeamPCP, mas por imitadores que simplesmente pegaram o código publicado e começaram a usá-lo em seus próprios ataques. Isso é evidenciado pela ausência de quaisquer alterações ou mecanismos de ocultação no código da malware.
Vale lembrar que já havíamos relatado sobre uma nova onda de ataques Shai-Hulud. Recentemente, hackers do TeamPCP comprometeram centenas de pacotes no npm e PyPI com ele. Projetos como TanStack, Mistral AI, Bitwarden CLI, OpenSearch, SAP e outros foram afetados por esses ataques. A principal tarefa do worm é roubar segredos de desenvolvedores e se auto-replicar por meio de pacotes infectados. Além disso, após a publicação do código-fonte, os pesquisadores alertaram que forks e modificações do Shai-Hulud começariam a aparecer quase instantaneamente. Infelizmente, essas previsões agora estão se confirmando.
Além do chalk-tempalte, especialistas encontraram mais três pacotes maliciosos: @deadcode09284814/axios-util; axois-utils; color-style-utils. Alguns deles usaram typosquatting e se disfarçaram de pacotes para a biblioteca Axios. Todos os quatro pacotes continham stealers (ferramentas de roubo de dados), mas axois-utils não apenas rouba dados, mas também possui a funcionalidade de transformar as máquinas dos desenvolvedores em parte de um botnet DDoS. Especialistas relatam que a malware suporta ataques de inundação HTTP, TCP e UDP, bem como ataques de reset TCP. No código, os pesquisadores encontraram menções de um tal "phantom bot". Ou seja, as máquinas de desenvolvedores infectadas podem ser usadas não apenas para roubar dados, mas também para organizar ataques distribuídos.
No total, os quatro pacotes maliciosos conseguiram acumular mais de 2.600 downloads. Os pesquisadores recomendam que todos que instalaram essas dependências as removam imediatamente, reemitam suas credenciais e alterem as chaves de API. "No momento, estamos observando apenas a primeira fase de uma nova onda de ataques à cadeia de suprimentos", alertam os analistas.
