Pesquisadores de cibersegurança identificaram quatro pacotes maliciosos publicados no repositório npm contendo malwares voltados para roubo de informações e ataques distribuídos de negação de serviço (DDoS). Um dos pacotes analisados traz uma cópia praticamente direta do worm Shai-Hulud, código malicioso que havia sido vazado publicamente pelo grupo TeamPCP.

Os pacotes identificados são “chalk-tempalte”, “@deadcode09284814/axios-util”, “axois-utils” e “color-style-utils”. Apesar de todos terem sido publicados pelo mesmo usuário, identificado como “deadcode09284814”, cada biblioteca possuía cargas maliciosas diferentes embutidas no código.

Segundo a OX Security, o pacote “chalk-tempalte” contém um clone funcional do Shai-Hulud, reutilizando praticamente sem alterações o código divulgado publicamente dias antes. O malware foi adaptado com um servidor de comando e controle próprio e uma chave privada específica do operador da campanha.

O Shai-Hulud ficou conhecido recentemente após ser associado a ataques de supply chain contra desenvolvedores, comprometendo ambientes de desenvolvimento para roubo de credenciais, tokens e acesso a plataformas como GitHub. No caso da nova campanha, as credenciais roubadas eram enviadas para um servidor remoto identificado como “87e0bbc636999b.lhr[.]life”.

Além disso, o malware utilizava os tokens GitHub capturados para criar automaticamente novos repositórios públicos através da API da plataforma. Esses repositórios recebiam a descrição “A Mini Sha1-Hulud has Appeared”, funcionando como possível mecanismo de propagação e rastreamento das infecções.

Outro pacote analisado, “axois-utils”, foi desenvolvido para instalar o Phantom Bot, uma botnet escrita em Golang com capacidade de executar ataques DDoS utilizando protocolos HTTP, TCP e UDP. A ferramenta também implementava persistência em sistemas Windows e Linux, adicionando o malware à pasta de inicialização do Windows e criando tarefas agendadas para garantir execução contínua após reinicializações.

Já os pacotes “@deadcode09284814/axios-util” e “color-style-utils” apresentavam funcionalidades típicas de infostealers. As cargas maliciosas coletavam chaves SSH, variáveis de ambiente, credenciais cloud, informações do sistema operacional, endereço IP da vítima e dados relacionados a carteiras de criptomoedas.

Os dados roubados eram enviados para os endereços “80.200.28[.]28:2222” e “edcf8b03c84634.lhr[.]life”. Segundo os pesquisadores, o uso simultâneo de diferentes técnicas e malwares indica uma evolução rápida nas campanhas de supply chain direcionadas ao ecossistema JavaScript e npm.

A investigação também destaca o impacto do vazamento público do código do Shai-Hulud. Para a OX Security, a disponibilidade open source do worm reduziu significativamente a barreira técnica para novos ataques, permitindo que outros operadores reutilizem rapidamente o código em campanhas próprias de comprometimento da cadeia de suprimentos.

O cenário preocupa especialmente porque ataques desse tipo exploram a confiança natural existente em bibliotecas de terceiros amplamente utilizadas por desenvolvedores e pipelines de CI/CD. Técnicas de typo-squatting — quando pacotes usam nomes muito parecidos com bibliotecas legítimas — continuam sendo uma das principais formas de distribuição de malware dentro do ecossistema npm.

Os pesquisadores recomendam que usuários que baixaram qualquer um dos pacotes removam imediatamente as bibliotecas comprometidas, revisem configurações maliciosas em IDEs e agentes de codificação como Claude Code, rotacionem credenciais e segredos expostos, além de verificar a existência de repositórios GitHub contendo a descrição “A Mini Sha1-Hulud has Appeared”.

Também foi recomendada a implementação de bloqueios de rede para os domínios e endereços utilizados pelos operadores da campanha, reduzindo o risco de exfiltração adicional de dados ou persistência do malware nos ambientes comprometidos.