Novo ataque Shai-Hulud compromete centenas de pacotes npm e PyPI

Uma nova campanha de ataque contra a supply chain associada ao grupo TeamPCP comprometeu centenas de pacotes nos repositórios npm e PyPI, distribuindo malware destinado ao roubo de credenciais de programadores e ambientes de desenvolvimento.

De acordo com a BleepingComputer, o ataque, identificado como uma nova variante da campanha Shai-Hulud, começou por comprometer pacotes ligados aos projetos TanStack e Mistral AI, mas rapidamente se expandiu para outras plataformas populares, incluindo Guardrails AI, UiPath, OpenSearch, Bitwarden CLI e até pacotes oficiais da SAP.

Segundo investigadores de segurança, os atacantes conseguiram publicar versões maliciosas assinadas com certificados válidos, recorrendo a tokens OpenID Connect (OIDC) roubados e explorando pipelines legítimos de CI/CD.

O resultado foi particularmente perigoso: os pacotes comprometidos aparentavam ser totalmente legítimos, com assinaturas válidas e mecanismos de verificação de proveniência compatíveis com o padrão SLSA Build Level 3. “Do ponto de vista dos programadores, os pacotes pareciam criptograficamente autênticos”, refere a análise da TanStack.

Os atacantes exploraram uma combinação de vulnerabilidades em workflows GitHub Actions, incluindo cache poisoning, workflows inseguros e roubo de tokens diretamente da memória dos runners.

Ao instalar os pacotes afetados, os sistemas descarregavam malware capaz de recolher credenciais associadas a GitHub, npm, AWS, Kubernetes, HashiCorp Vault, chaves SSH, ficheiros .env e ferramentas de desenvolvimento como VS Code e Claude Code.

O malware utiliza ainda mecanismos de persistência, instalando componentes adicionais em hooks e tarefas automáticas do VS Code, o que significa que a simples remoção do pacote comprometido pode não eliminar totalmente a infeção.

A exfiltração dos dados roubados era realizada através da rede Session P2P, permitindo ocultar o tráfego malicioso sob comunicações encriptadas semelhantes a aplicações de mensagens.

Investigadores da Microsoft analisaram também uma variante distribuída através de pacotes Mistral AI no PyPI, identificando um payload denominado “transformers.pyz”, concebido para imitar a popular biblioteca Transformers da Hugging Face.

Além do roubo de informação, algumas variantes continham rotinas destrutivas capazes de executar comandos de eliminação massiva de ficheiros em determinados contextos geográficos.

Perante a dimensão do incidente, especialistas recomendam que organizações e developers assumam que todas as credenciais utilizadas em ambientes afetados foram comprometidas.

As medidas urgentes incluem rotação de tokens e credenciais, auditoria a ambientes de desenvolvimento, verificação de persistência do malware e bloqueio da infraestrutura utilizada pelos atacantes.