Um Grande Ataque ao Estilo Worm Atinge NPM, Colocando Credenciais da Carteira Cripto em Risco

Um ataque à cadeia de abastecimento de rápida propagação conhecido como Shai-Hulud infectou centenas de pacotes npm e expôs credenciais sensíveis de desenvolvedores, incluindo tokens do GitHub, chaves de nuvem e dados de carteiras de criptomoedas. A campanha começou em meados de setembro de 2025 e escalou rapidamente à medida que o verme se espalha por contas de mantenedores e bibliotecas JavaScript amplamente utilizadas.

Como o Verme Shai-Hulud se Espalha

As agências de segurança relatam que os atacantes primeiro comprometem uma conta de mantenedor, frequentemente através de phishing, e depois carregam versões modificadas de pacotes legítimos. Assim que um desenvolvedor instala uma dessas versões, um script malicioso chamado bundle.js é executado em sistemas macOS ou Linux.

O worm examina máquinas e pipelines de CI em busca de segredos usando a ferramenta de código aberto TruffleHog. Ele procura itens como:

• Tokens de acesso pessoal do GitHub
• npm publicar tokens
• Chaves de nuvem AWS, GCP e Azure
• Chaves de carteira e credenciais de desenvolvimento de cripto

Se encontrar tokens npm válidos, atualiza imediatamente e republica pacotes adicionais pertencentes ao mesmo mantenedor. Este comportamento permite que o malware se replique rapidamente por todo o ecossistema.

Persistência e Exposição de Dados

Os pesquisadores descobriram que o verme tenta permanecer ativo criando fluxos de trabalho do GitHub Actions dentro de repositórios de vítimas. Ele também carrega credenciais roubadas e dados de repositórios privados para novos repositórios públicos do GitHub rotulados como Shai-Hulud. Algumas bibliotecas comprometidas recebem bilhões de downloads semanais, o que levanta sérias preocupações sobre a extensão da exposição.

Embora não haja casos confirmados que mostrem infecções diretas do Ethereum Name Service ou de bibliotecas web3 populares, o risco permanece elevado. Ataques anteriores no npm e PyPI visaram especificamente ferramentas de criptomoeda, portanto, os desenvolvedores que trabalham em carteiras, contratos inteligentes ou aplicativos web3 devem permanecer cautelosos.

Por que os projetos de criptomoedas enfrentam riscos aumentados

Os desenvolvedores muitas vezes dependem de pacotes npm dentro de sistemas CI/CD, containers e ambientes de produção. Portanto, uma única dependência comprometida pode afetar todo o fluxo de trabalho de blockchain. Os atacantes podem interceptar operações de carteira, capturar frases-semente ou ler segredos de implantação ligados à gestão de contratos inteligentes.

O Que os Desenvolvedores Devem Fazer Agora

Especialistas instam as equipas a agir imediatamente:

• Auditar todas as dependências utilizadas antes de 16 de setembro de 2025
• Versões de pacotes seguras com pin
• Rotacione todas as credenciais de desenvolvedor, incluindo tokens do GitHub, npm, SSH e da nuvem
• Ativar MFA resistente a phishing em todas as contas

O incidente Shai-Hulud destaca uma mudança significativa na segurança de código aberto. Os vermes autônomos da cadeia de suprimentos não são mais teóricos. O ecossistema agora precisa de verificações de dependência mais rigorosas, melhores ferramentas e permissões mais restritas para os mantenedores.