Pacotes npm escondem variante do Shai-Hulud

O malware Shai-Hulud, cujo código-fonte foi divulgado publicamente na semana passada, está agora a ser utilizado em novas campanhas maliciosas dirigidas ao ecossistema npm (Node Package Manager).

Investigadores da OXsecurity identificaram quatro pacotes maliciosos publicados durante o fim de semana, incluindo uma variante não ofuscada do Shai-Hulud.

Os pacotes tinham como principal objetivo o roubo de credenciais de developers, segredos de configuração, dados de carteiras de criptomoedas e informação de contas.

De acordo com a OXsecurity, a ausência de técnicas de ofuscação sugere que esta nova campanha terá sido conduzida por um ator distinto do grupo original.

O malware exfiltra informação roubada para um servidor de comando e controlo alojado no num domínio e mantém funcionalidades de publicação automática de credenciais comprometidas em repositórios públicos no GitHub.

Um dos pacotes destacou-se por incluir também capacidades de botnet para ataques distribuídos de negação de serviço (DDoS), suportando ataques HTTP, TCP, UDP e TCP reset.

A campanha Shai-Hulud tem vindo a evoluir desde setembro de 2025, explorando ataques à cadeia de fornecimento de software através da injeção de malware em projetos legítimos e do roubo de credenciais com permissões de publicação.

Segundo a OXsecurity, os quatro pacotes maliciosos registaram em conjunto cerca de 2.678 downloads.

Os investigadores recomendam aos developers que removeram imediatamente os pacotes comprometidos e procedam à rotação de credenciais, chaves API e restantes segredos armazenados nos sistemas afetados.