Código HTML do Conteúdo
Post: Cadeia de suprimentos wormable? Chegam os Pacotes NPM com Malware de Autopropagação
<div>
<div data-element_type="widget" data-id="914a4f5" data-widget_type="shortcode.default">
<div>
<div>
<p><span><b><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Redazione RHC</a>:18 Setembro 2025 16:26</b></span></p>
<p>Pesquisadores de segurança <strong>descobriram o comprometimento de mais de 180 pacotes npm</strong>, infectado com um <em>Malware de autopropagação projetado para infectar outros pacotes</em>. A campanha, apelidada de <strong>Shai-Hulud,</strong> provavelmente começou com o hack do <strong>@ctrl/tinycolor</strong> pacote, que é baixado por <strong>2 milhões de vezes por semana.</strong></p>
<p>O nome Shai-Hulud vem dos arquivos shai-hulud.yaml usados pelo malware. <strong>É uma referência aos vermes gigantes da areia de Duna de Frank Herbert</strong>. A questão foi levada ao conhecimento do desenvolvedor Daniel Pereira <a href="https://www.linkedin.com/posts/daniel-pereira-b17a27160_npm-profile-activity-7373489836437114880-D9ma?utm_source=share&utm_medium=member_desktop&rcm=ACoAAArUYTQBMx2P2SMFdIx-wUs7H1hfLGpuhVM" target="_blank">Daniel Pereira, que alertou a comunidade para <strong>um ataque à cadeia de suprimentos em larga escala.</strong></a></p>
<blockquote>
<p><em>“No momento, enquanto você lê isso, o malware está sendo distribuído no npm”,</em> Pereira disse, pedindo a todos que não instalem as versões mais recentes do @ctrl/tinycolor.</p>
</blockquote>
<p>O desenvolvedor tentou <a href="https://www.linkedin.com/feed/update/urn:li:activity:7373418115398995968/" target="_blank">para notificar</a> a equipe de segurança do GitHub por meio de canais privados, como os invasores <strong>eles tinham como alvo “vários repositórios”</strong> e divulgar publicamente o ataque poderia ter criado mais riscos. <em>No entanto, entrar em contato com o GitHub se mostrou muito difícil, então Pereira relatou publicamente o problema.</em></p>
<p>Pesquisadores na <a href="https://socket.dev/blog/tinycolor-supply-chain-attack-affects-40-packages" target="_blank">Soquete</a> e <a href="https://www.aikido.dev/blog/s1ngularity-nx-attackers-strike-again#:~:text=publishing%20rights.-,Impacted%20packages,-Package" target="_blank">Aikido</a> estão atualmente investigando o incidente e descobriram que pelo menos <strong>187 pacotes foram comprometidos.</strong> Entre os pacotes afetados, vários são publicados pela conta <a href="https://www.npmjs.com/~crowdstrike-publisher" target="_blank">npmjs</a> da empresa de segurança cibernética CrowdStrike.</p>
<blockquote>
<p><em>“Depois de descobrir vários pacotes maliciosos no registro público npm (um repositório de código aberto de terceiros), nós os removemos rapidamente e atualizamos preventivamente nossas chaves”, disseram representantes da CrowdStrike.<em>“Esses pacotes não são usados pela Falcon, nossa plataforma não é afetada e os clientes permanecem protegidos. Estamos trabalhando com o npm e conduzindo uma investigação completa.”</em></em></p>
</blockquote>
<p><a href="https://www.reversinglabs.com/blog/shai-hulud-worm-npm" target="_blank">Laboratórios de reversão</a>, por sua vez, descreve este incidente como <strong>“O primeiro de seu tipo, um worm auto-replicante que infecta pacotes NPM e rouba tokens de nuvem.”</strong> Os pesquisadores acreditam que o ataque se originou no <strong>rxnt-authentication, uma versão maliciosa do qual foi publicada no npm em 14 de setembro de 2025.</strong></p>
<p>De acordo com a ReversingLabs, a pessoa responsável por <strong>suporte técnico </strong>podem ser considerados <strong>paciente zero.</strong> A chave para descobrir a origem do ataque está exatamente em como a conta techsupportrxnt foi comprometida. Pode ter começado com um e-mail de phishing ou a exploração de um <em>Ação do GitHub.</em></p>
<p>As versões comprometidas dos pacotes são equipadas com um mecanismo de autopropagação de malware, visando outros pacotes dos mantenedores afetados. De acordo com os pesquisadores do Socket, o malware baixou cada pacote do mantenedor, modificou seu <strong>package.json</strong>, injetou o <strong>bundle.js</strong> script, reempacotou o arquivo e o republicou, <em>“garantindo assim a Trojanização automática de pacotes downstream.”</em></p>
<p>O bundle.js script usa <strong>Porco Trufado</strong>, um scanner secreto legítimo projetado para desenvolvedores e profissionais de segurança. O TruffleHog ajuda a detectar informações confidenciais vazadas acidentalmente, como chaves de API, senhas e tokens, de repositórios e outras fontes. O script malicioso abusou da ferramenta para encontrar tokens e credenciais de nuvem.</p>
<div>
<div>
<div>
<div>
<p><b><span>Redação</span></b><br /><span>A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.</span></p>
<p><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Lista degli articoli</a></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div></div>