Uma nova e agressiva campanha de ataque à cadeia de fornecimento digital está a abalar a comunidade de desenvolvimento. Centenas de versões "trojanizadas" de pacotes populares, incluindo ferramentas oficiais da Zapier, ENS Domains, PostHog e Postman, foram inseridas no registo npm durante o fim de semana, com o objetivo de roubar segredos de desenvolvimento e credenciais CI/CD (Integração e Entrega Contínuas).
Os dados roubados estão a ser publicados automaticamente no GitHub de forma codificada, numa demonstração de força dos atacantes. No momento da descoberta, existiam mais de 27.000 resultados no GitHub relacionados com este ataque recente, indicando uma propagação alarmante.
O regresso do malware Shai-Hulud
Esta não é a primeira vez que este nome surge nos radares de cibersegurança. O malware Shai-Hulud apareceu inicialmente no ecossistema npm em meados de setembro, altura em que comprometeu 187 pacotes. O método envolvia um payload de autopropagação que utilizava a ferramenta TruffleHog para extrair segredos dos programadores.
Nesta nova vaga, o ator da ameaça descarrega automaticamente pacotes legítimos, modifica o ficheiro package.json para injetar um script malicioso e volta a publicá-los no npm utilizando contas de manutenção comprometidas.
A descoberta foi feita por Charlie Eriksen, investigador de malware na plataforma de segurança Aikido Security. Inicialmente, foram detetados 105 pacotes infetados, mas o número rapidamente escalou para 492, com múltiplas versões. Mais tarde, conforme alertado por Charlie Eriksen, os segredos roubados neste ataque à cadeia de fornecimento começaram a ser divulgados publicamente.
A escala do ataque explodiu rapidamente. Investigadores da plataforma de segurança na nuvem Wiz descobriram cerca de 350 contas de manutenção únicas usadas na campanha, notando que chegaram a ser criados 1.000 novos repositórios a cada 30 minutos. Eriksen esclareceu que os repositórios no GitHub são indicativos de programadores comprometidos que utilizaram os pacotes npm infetados, expondo assim as suas credenciais.
Detalhes técnicos e funcionamento
Uma análise técnica da empresa de segurança Step Security revela que os novos payloads estão contidos em dois ficheiros principais. O primeiro, setup_bun.js, atua como um dropper disfarçado de instalador do Bun. O segundo ficheiro, bun_environment.js, é massivo (10MB) e utiliza técnicas de ofuscação extremas para esconder as suas intenções, incluindo longas sequências codificadas em hexadecimal e loops anti-análise.
O código malicioso é executado apenas durante a fase de pré-instalação e tem como função recolher segredos do programador e chaves de CI/CD. Estes dados são depois publicados em repositórios do GitHub com nomes que referenciam "Shai-Hulud". O malware cria vários ficheiros locais (cloud.json, contents.json, environment.json, truffleSecrets.json) antes de exfiltrar a informação.
Os segredos roubados aparecem em repositórios gerados automaticamente com a descrição "Sha1-Hulud: The Second Coming". Aparentemente, os atacantes também ganharam acesso a contas do GitHub, que estão agora a usar para criar estes repositórios de fuga de dados.
Alvos de alto perfil e recomendações urgentes
O GitHub tem estado a eliminar os repositórios dos atacantes à medida que surgem, mas a velocidade de criação de novos é elevada. Entre os 186 pacotes identificados pela Aikido Security como comprometidos, encontram-se ferramentas cruciais de empresas como a Zapier, ENS Domains, PostHog e AsyncAPI.
No caso da Zapier, os pacotes comprometidos constituem o kit de ferramentas oficial para a construção de integrações, sendo essenciais para quem desenvolve na plataforma. Já os pacotes da EnsDomains são amplamente usados por carteiras digitais e aplicações descentralizadas (DApps) para gerir nomes .eth e interagir com contratos inteligentes.
Embora alguns destes pacotes ainda estejam disponíveis para download, a plataforma npm já exibe avisos de segurança em alguns casos, indicando que a revisão automática detetou sinais de compromisso.
Para os programadores, a recomendação é verificar a lista completa de pacotes infetados fornecida pela Aikido, fazer o downgrade para versões seguras e rodar imediatamente todos os segredos e tokens CI/CD que possam ter sido expostos. As equipas de segurança devem também identificar proativamente os pacotes comprometidos e substituí-los por versões legítimas. A desativação de scripts postinstall do npm durante a integração contínua é outra medida aconselhada para mitigar este tipo de ataque.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech