Ataque à supply chain compromete pacotes npm com malware persistente

Um ataque à supply chain atingiu diversos pacotes npm da CrowdStrike, desencadeando uma campanha maliciosa conhecida como “Shai-Halud”. O incidente, que reutiliza malware previamente observado em pacotes como tinycolor, evidencia os riscos persistentes no ecossistema open source.

O ataque teve origem na conta npm associada à CrowdStrike e utiliza um script malicioso inserido nos pacotes afetados. Esse script inicia um processo em várias etapas destinado a roubar credenciais sensíveis e estabelecer persistência nos sistemas das vítimas.

Segundo especialistas da Socket.dev, o malware recorre à ferramenta legítima TruffleHog para identificar informação sensível – como chaves privadas, tokens de API e credenciais de serviços na cloud – que acabou por ser exposta de forma não autorizada.

Os dados extraídos são depois enviados para um endpoint controlado pelos atacantes.

Além da exfiltração, o malware cria fluxos de trabalho não autorizados no GitHub Actions, o que permite aos cibercriminosos manter acesso e automatizar outras atividades maliciosas.

O registo npm removeu rapidamente os pacotes, mas especialistas sublinham que os programadores devem desinstalar versões afetadas e fixar dependências em versões seguras já verificadas.

As organizações são aconselhadas a auditar pipelines de CI/CD, estações de trabalho de programadores e todos os ambientes onde os pacotes possam ter sido instalados. Além disso, tokens npm ou outras credenciais expostas devem ser alterados de imediato; a monitorização contínua de logs é essencial para identificar atividades suspeitas ou alterações não autorizadas.