top of page

Nova variante do worm Shai-Hulud é detectada em pacote suspeito no npm

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 3 de jan.
  • 3 min de leitura

Pesquisadores identificaram o que aparenta ser uma nova variante do worm Shai-Hulud circulando no npm, com pequenas, porém relevantes, modificações em relação à campanha observada no final de 2025. A descoberta levanta novamente alertas sobre os riscos crescentes de ataques à cadeia de suprimentos de software, especialmente no ecossistema open source.


O pacote malicioso identificado foi o @vietmoney/react-big-calendar, originalmente publicado em março de 2021 por um usuário chamado hoquocdat, mas que permaneceu inativo por anos. Somente em 28 de dezembro de 2025 o pacote recebeu sua primeira atualização, chegando à versão 0.26.2. Desde então, foram registrados 698 downloads no total, sendo 197 apenas da versão mais recente números relativamente baixos, mas suficientes para chamar a atenção dos Pesquisadores.


A análise foi conduzida pela empresa de segurança Aikido, que afirma não ter identificado, até o momento, um surto significativo de infecções. Para os Pesquisadores, isso indica que o pacote pode ter sido usado como ambiente de teste para validar um novo payload do malware antes de uma campanha em larga escala.


Segundo o Pesquisador Charlie Eriksen, o código apresenta sinais claros de reofuscação completa, e não apenas pequenas edições sobre o código original. Esse detalhe sugere que o autor da nova amostra teve acesso ao código-fonte original do Shai-Hulud, afastando a hipótese de um simples imitador. A conclusão reforça a ideia de continuidade da campanha por parte do mesmo grupo hacker.


Evolução do Shai-Hulud e mudanças na nova variante


O ataque Shai-Hulud veio a público pela primeira vez em setembro de 2025, quando pacotes trojanizados no npm passaram a roubar tokens do npm, GitHub, credenciais de nuvem e chaves de API, enviando esses dados para repositórios controlados pelos hackers. Em uma segunda onda, identificada em novembro, os repositórios de exfiltração traziam a descrição “Sha1-Hulud: The Second Coming”.


O diferencial mais perigoso do Shai-Hulud sempre foi seu comportamento do tipo worm. Após comprometer um desenvolvedor, o malware utiliza os tokens roubados para identificar até 100 dos pacotes mais populares associados à mesma conta, inserir código malicioso neles e republicá-los no npm, ampliando exponencialmente o impacto do ataque à cadeia de suprimentos.


Na nova variante, os Pesquisadores observaram alterações importantes, incluindo:


  • Renomeação dos arquivos iniciais para bun_installer.js e environment_source.js

  • Uso de novos nomes ofuscados para arquivos que armazenam segredos roubados

  • Mudança na descrição dos repositórios de exfiltração para “Goldox-T3chs: Only Happy Girl”

  • Remoção do “dead man switch”, que anteriormente acionava um wiper caso não fossem encontrados tokens válidos

  • Melhor tratamento de erros, inclusive quando scanners como o TruffleHog apresentam timeout

  • Ajustes na lógica de coleta, ordenação e publicação dos dados roubados

  • Ataque semelhante também atinge o ecossistema Java


Paralelamente, os Pesquisadores também identificaram um pacote malicioso no Maven Central, disfarçado como uma extensão legítima da popular biblioteca Jackson JSON. O pacote utilizava uma técnica conhecida como typosquatting, explorando a diferença sutil entre os namespaces legítimos e falsos para enganar desenvolvedores.


Ao ser incluído em projetos Spring Boot, o malware era executado automaticamente durante a inicialização da aplicação, sem necessidade de chamadas explícitas no código. A partir daí, ele realizava verificações no sistema e baixava payloads específicos para cada sistema operacional, incluindo um beacon do Cobalt Strike, ferramenta legítima de simulação adversária frequentemente abusada por grupos hackers para comando e controle pós-exploração.


Segundo a Aikido, esse tipo de ataque explora uma falha estrutural nos mecanismos de validação do Maven Central, que hoje não conseguem diferenciar com eficiência pacotes legítimos de cópias maliciosas que utilizam prefixos semelhantes. A recomendação é que repositórios passem a tratar namespaces críticos como ativos de alto valor, aplicando verificações adicionais antes da publicação.


 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page