Nova Onda de Ataques Shai-Hulud Compromete 600 Pacotes npm
Pesquisadores relatam uma nova onda de ataques do malware Shai-Hulud na ecossistema npm, resultando na publicação de mais de 600 versões de pacotes infectados. O malware visa roubar credenciais de desenvolvedores e infraestruturas CI/CD, além de se propagar através de tokens npm roubados.
MundiX News·21 de maio de 2026·3 min de leitura·👁 4 views
Pesquisadores de segurança descobriram uma nova onda de ataques do malware Shai-Hulud, desta vez visando a ecossistema npm. Os invasores publicaram mais de 600 versões de pacotes infectados, afetando mais de 300 projetos, incluindo a ecossistema AntV, bibliotecas React populares e ambientes CI/CD. A rapidez e a sofisticação desses ataques demonstram a crescente ameaça que o malware Shai-Hulud representa para a segurança da cadeia de suprimentos de software.
A principal área de ataque foi a ecossistema @antv, um conjunto de bibliotecas para construção de gráficos, visualização de grafos, diagramas de fluxograma e manipulação de dados. Pacotes populares de terceiros também foram afetados, incluindo echarts-for-react, @antv/g2, @antv/g6, @antv/x6, @antv/l7, @antv/g2plot, @antv/graphin, timeago.js, size-sensor e canvas-nest.js. A empresa Socket relatou que os invasores agiram rapidamente, comprometendo a conta npm atool, que publica pacotes AntV, e lançando 639 versões maliciosas em aproximadamente uma hora, entre 01:56 e 02:56 UTC de 19 de maio.
Assim como em campanhas anteriores com Shai-Hulud, o malware foi implantado diretamente em pacotes npm legítimos, visando segredos de desenvolvedores e infraestruturas CI/CD. O malware coletou mais de 20 tipos de credenciais, incluindo tokens GitHub e npm, chaves AWS, Google Cloud e Azure, chaves SSH, configurações Kubernetes, segredos Vault e parâmetros de conexão de banco de dados. Além de roubar dados, o Shai-Hulud tenta se propagar. Se o malware encontra um token npm válido, ele procura automaticamente os pacotes do proprietário, baixa-os, implanta seu payload, aumenta o número da versão e publica a versão infectada em nome da vítima. Para exfiltração de dados, o malware usa o mensageiro P2P Session com criptografia de ponta a ponta, tornando o tráfego semelhante a uma conexão Session normal via TCP/443, difícil de bloquear em nível de rede. Como canal de backup, a API do GitHub é usada: se o malware consegue roubar um token do GitHub, ele cria automaticamente um repositório na conta da vítima e carrega todos os dados roubados. Esses repositórios podem ser facilmente identificados pela string "niaga og ew ereh :duluh-iahs" em README, que é a frase invertida "Shai-Hulud: Here We Go Again". Atualmente, mais de 3.000 desses repositórios podem ser encontrados no GitHub.
Analistas da Endor Labs relatam que a nova versão do Shai-Hulud pode falsificar atestados de origem por meio do Sigstore. O malware rouba tokens OIDC de ambientes CI/CD e os usa para criar atestados corretamente assinados por meio de Fulcio e Rekor. Como resultado, os pacotes npm infectados podem passar com sucesso na verificação padrão e parecer lançamentos legítimos. Além disso, especialistas da Aikido Security descobriram mecanismos de persistência no sistema por meio de configurações do VS Code e do Claude Code. Os pesquisadores acreditam que os invasores agora estão pensando não apenas na infecção inicial das vítimas, mas também na "sobrevivência" após a limpeza do sistema. A situação é agravada pelo fato de que o código-fonte do Shai-Hulud foi recentemente publicado em acesso aberto pelo grupo TeamPCP. Os primeiros clones do malware já apareceram, e a atribuição de novos ataques se tornou significativamente mais difícil.
Pesquisadores de segurança descobriram uma nova onda de ataques do malware Shai-Hulud, desta vez visando a ecossistema npm. Os invasores publicaram mais de 600 versões de pacotes infectados, afetando mais de 300 projetos, incluindo a ecossistema AntV, bibliotecas React populares e ambientes CI/CD. A rapidez e a sofisticação desses ataques demonstram a crescente ameaça que o malware Shai-Hulud representa para a segurança da cadeia de suprimentos de software.
A principal área de ataque foi a ecossistema @antv, um conjunto de bibliotecas para construção de gráficos, visualização de grafos, diagramas de fluxograma e manipulação de dados. Pacotes populares de terceiros também foram afetados, incluindo echarts-for-react, @antv/g2, @antv/g6, @antv/x6, @antv/l7, @antv/g2plot, @antv/graphin, timeago.js, size-sensor e canvas-nest.js. A empresa Socket relatou que os invasores agiram rapidamente, comprometendo a conta npm atool, que publica pacotes AntV, e lançando 639 versões maliciosas em aproximadamente uma hora, entre 01:56 e 02:56 UTC de 19 de maio.
Assim como em campanhas anteriores com Shai-Hulud, o malware foi implantado diretamente em pacotes npm legítimos, visando segredos de desenvolvedores e infraestruturas CI/CD. O malware coletou mais de 20 tipos de credenciais, incluindo tokens GitHub e npm, chaves AWS, Google Cloud e Azure, chaves SSH, configurações Kubernetes, segredos Vault e parâmetros de conexão de banco de dados. Além de roubar dados, o Shai-Hulud tenta se propagar. Se o malware encontra um token npm válido, ele procura automaticamente os pacotes do proprietário, baixa-os, implanta seu payload, aumenta o número da versão e publica a versão infectada em nome da vítima. Para exfiltração de dados, o malware usa o mensageiro P2P Session com criptografia de ponta a ponta, tornando o tráfego semelhante a uma conexão Session normal via TCP/443, difícil de bloquear em nível de rede. Como canal de backup, a API do GitHub é usada: se o malware consegue roubar um token do GitHub, ele cria automaticamente um repositório na conta da vítima e carrega todos os dados roubados. Esses repositórios podem ser facilmente identificados pela string "niaga og ew ereh :duluh-iahs" em README, que é a frase invertida "Shai-Hulud: Here We Go Again". Atualmente, mais de 3.000 desses repositórios podem ser encontrados no GitHub.
Analistas da Endor Labs relatam que a nova versão do Shai-Hulud pode falsificar atestados de origem por meio do Sigstore. O malware rouba tokens OIDC de ambientes CI/CD e os usa para criar atestados corretamente assinados por meio de Fulcio e Rekor. Como resultado, os pacotes npm infectados podem passar com sucesso na verificação padrão e parecer lançamentos legítimos. Além disso, especialistas da Aikido Security descobriram mecanismos de persistência no sistema por meio de configurações do VS Code e do Claude Code. Os pesquisadores acreditam que os invasores agora estão pensando não apenas na infecção inicial das vítimas, mas também na "sobrevivência" após a limpeza do sistema. A situação é agravada pelo fato de que o código-fonte do Shai-Hulud foi recentemente publicado em acesso aberto pelo grupo TeamPCP. Os primeiros clones do malware já apareceram, e a atribuição de novos ataques se tornou significativamente mais difícil.
