Uma nova campanha de supply-chain chamada Shai-Hulud comprometeu centenas de pacotes nas plataformas npm e PyPI, visando roubar credenciais de desenvolvedores. O ataque, atribuído ao grupo de ameaças TeamPCP, começou com pacotes da TanStack e Mistral AI, mas rapidamente se espalhou para projetos populares como Guardrails AI e UiPath. Os atacantes utilizaram tokens OpenID Connect (OIDC) válidos para publicar versões maliciosas de pacotes, que aparentavam ter origem legítima devido a atestações de proveniência. Entre os pacotes comprometidos estão o Bitwarden CLI e pacotes oficiais da SAP. A última onda de ataques ocorreu recentemente, com a publicação de pacotes infectados na namespace TanStack no npm. Os atacantes exploraram vulnerabilidades em workflows do GitHub, resultando na publicação de 84 versões maliciosas em 42 pacotes da TanStack. O malware é projetado para roubar segredos de desenvolvedores, incluindo tokens do GitHub Actions, credenciais do AWS e tokens do HashiCorp Vault. Para mitigar os riscos, especialistas recomendam que equipes de segurança verifiquem versões afetadas, rotacionem credenciais e bloqueiem a infraestrutura de comando e controle dos atacantes.
Fonte: https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
12/05/2026 • Risco: ALTO
MALWARE
Campanha Shai-Hulud compromete pacotes npm e PyPI com malware
RESUMO EXECUTIVO
O ataque Shai-Hulud comprometeu pacotes de software amplamente utilizados, expondo segredos de desenvolvedores e exigindo ações imediatas para mitigar riscos. A exploração de vulnerabilidades em workflows do GitHub e a utilização de tokens válidos tornam a situação crítica, especialmente em um cenário onde a segurança da cadeia de suprimentos é cada vez mais relevante.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido ao roubo de credenciais e interrupções operacionais.
Operacional
Roubo de credenciais de desenvolvedores e exposição de segredos.
Setores vulneráveis
['Tecnologia', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
Mais de 160 pacotes comprometidos no npm.
Indicador
373 entradas de pacotes maliciosos registradas pela Aikido.
Contexto BR
416 artefatos comprometidos rastreados pela Socket.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar versões de pacotes afetados em ambientes de desenvolvimento.
2
Rotacionar todas as credenciais expostas imediatamente.
3
Monitorar continuamente a infraestrutura de comando e controle dos atacantes.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança da cadeia de suprimentos, pois o ataque compromete pacotes utilizados em ambientes de desenvolvimento.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD devido ao vazamento de dados sensíveis.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
