Dev brasileiro alerta sobre ataque "Shai-Hulud" que compromete 187 pacotes NPM

Pesquisadores identificaram um ataque de autopropagação a uma cadeia de suprimentos de software que comprometeu pelo menos 187 pacotes NPM. A campanha, apelidada de "Shai-Hulud", utiliza uma carga maliciosa em estilo de "worm" para infectar outros pacotes de forma automática, e já se expandiu significativamente, atingindo até mesmo pacotes de empresas de segurança como a CrowdStrike.

A ofensiva começou com o comprometimento do popular pacote @ctrl/tinycolor, que registra mais de 2 milhões de downloads semanais. O ataque, percebido e inicialmente alertado pelo engenheiro de software Daniel Pereira, expôs a fragilidade da segurança de repositórios como o npmjs.com, o maior do mundo para JavaScript. Pereira tentou, sem sucesso, alertar o GitHub sobre o problema, ressaltando a dificuldade de comunicação e o risco de exposição de segredos em diversos repositórios.

A investigação do incidente, liderada por empresas de segurança da cadeia de suprimentos como a Socket, a Aikido e a StepSecurity, confirmou as descobertas iniciais e a presença do malware em uma vasta gama de pacotes. A CrowdStrike confirmou que alguns de seus pacotes foram afetados, mas assegurou que sua plataforma principal, o sensor Falcon, não foi comprometida, e que seus clientes permanecem protegidos.

O Mecanismo de Autopropagação e o Roubo de Dados

A principal característica do malware "Shai-Hulud" é seu mecanismo de autopropagação, que tem como alvo pacotes de um mesmo mantenedor. O código malicioso altera o arquivo package.json de um pacote, injeta um script malicioso chamado bundle.js, e o republica, infectando novos alvos automaticamente.

O script malicioso se utiliza da ferramenta legítima TruffleHog, um scanner de segredos, para abusar de suas funcionalidades. O malware usa a ferramenta para vasculhar o host em busca de tokens, credenciais de desenvolvedor e credenciais de nuvem. Em seguida, ele cria um fluxo de trabalho malicioso no GitHub Actions dentro dos repositórios e envia todos os dados sensíveis para um endpoint de webhook.

O nome da campanha, "Shai-Hulud", é uma referência direta aos vermes gigantes da série de ficção científica "Duna", de Frank Herbert, e reforça a natureza "worm" do ataque. Segundo os pesquisadores da Socket, Kush Pandya e Peter van der Zee, a escolha do nome demonstra que os invasores rotularam a campanha de forma deliberada.

Fragilidade da Cadeia de Suprimentos e a Necessidade de Ação

O ataque "Shai-Hulud" acontece em um momento de aumento de incidentes de cibersegurança em grande escala, como o ataque "s1ngularity" que, no mesmo mês, comprometeu mais de 2.180 contas no GitHub. Profissionais de segurança, como Daniel Pereira, levantam a hipótese de que o ataque "Shai-Hulud" pode estar ligado aos mesmos hackers por trás da campanha "s1ngularity".

Esses ataques em série, que também incluíram o comprometimento dos populares pacotes npm chalk e debug, demonstram a fragilidade da cadeia de suprimentos de software. A vulnerabilidade de um único pacote pode ter um efeito cascata, afetando centenas de projetos e expondo dados sensíveis.

Empresas como o Google, apesar de confirmarem que o código-fonte de seu Gemini CLI não foi comprometido, emitiram alertas a usuários que instalaram o serviço por meio do NPM, orientando-os a auditar seus sistemas e rotacionar credenciais.

A urgência de os desenvolvedores protegerem seus pipelines de software é inquestionável. Recomenda-se que os usuários afetados auditem seus ambientes em busca de sinais de comprometimento, rotacionem segredos e tokens de CI/CD, e fixem dependências em versões confiáveis para mitigar a exposição a futuros ataques.

Via - BC