O worm Shai Hulud voltou com força e arrancou o ecossistema de desenvolvimento: mais de 26 mil repositórios públicos de código foram infectadossegundo pesquisadores da Aikido Security.
A nova campanha é muito mais rápida — só nas primeiras horas da manhã de hoje, mais de 19 mil projetos já foram contaminados, incluindo ferramentas como go-template, AsyncAPI, PostHog, Postman, Zapier e ENS.
Como funciona o ataque
O objetivo é roubar credenciais armazenadas em computadores dos desenvolvedores, como chaves de acesso para AWS, GitHub, npm e outros serviços cloud.
O worm escaneia computadores e contas ligadas, usando a ferramenta TruffleHog para garimpar todos os segredos disponíveis.
Além disso, as credenciais roubadas são imediatamente usadas para invadir e contaminar ainda mais pacotes, transformando cada vítima em novo vetor de ataque em tempo real.
Os investigadores aprenderam com os erros anteriores e agora jogaram credenciais roubadas diretamente em repositórios públicos do GitHub, acelerando o impacto.
Impacto
Mesmo com falhas técnicas que limitam parte dos danos, mais de 132 milhões de downloads mensais estão potencialmente comprometidos.
Cerca de 425 pacotes apresentam sinais de worm e mais de 26.300 repositórios já têm dados expostos, marcados como “Sha1-Hulud: The Second Coming”.
Recomendações imediatas para desenvolvedores
- Desinstalar imediatamente todos os pacotes embalados.
- Troque todas as credenciais (GitHub, npm, cloud, CI/CD).
- Audite todas as dependências e procure por repositórios estranhos com “Sha1-Hulud: The Second Coming” na descrição.
- Desativar scripts npm postinstall em pipelines de CI.
- Habilitar autenticação multifator (MFA) em todas as contas.
- Esse ataque reflete a prioridade dos ataques em atingir os desenvolvedores — manter a vigilância contínua é necessária para garantir a segurança da cadeia de software.
