Página inicial
Notícias
Detalhes

Malware Shai-Hulud infecta pacotes NPM/PyPI, ameaça carteiras de criptomoedas

iconChainGPT
Compartilhar
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconResumo

expand icon
O malware Shai-Hulud infectou mais de 320 pacotes NPM e PyPI, impactando mais de 518 milhões de downloads mensais. A ameaça visa carteiras de criptomoedas e credenciais de nuvem, com invasões recentes na Mistral AI e OpenAI. Pesquisadores ligam o malware à TeamPCP, que anteriormente roubou 4.000 repositórios do GitHub. Notícias on-chain destacam a urgência de verificações mais rigorosas de dependências e lançamentos assinados. Notícias de IA + cripto mostram riscos crescentes nos ecossistemas de código aberto. Especialistas recomendam ambientes de build isolados para evitar a propagação adicional.

Shai-Hulud: o malware de cadeia de suprimentos que se espalha pelas pipelines de desenvolvedores — e pelas carteiras de criptomoedas Uma campanha de malware sigilosa denominada “Shai-Hulud” está explorando as ferramentas automatizadas nas quais os desenvolvedores dependem para construir e distribuir software, e seu alcance é alarmante. Pesquisadores ligaram aproximadamente 320 entradas maliciosas nos repositórios do Node Package Manager (NPM) e PyPI à campanha — pacotes que juntos somam mais de 518 milhões de downloads mensais. Para projetos de criptomoedas e qualquer equipe que dependa desses ecossistemas, as implicações são claras: o acesso dos atacantes às ferramentas de desenvolvimento pode rapidamente se transformar em roubo de credenciais em nuvem e carteiras de criptomoedas. Como a infecção se espalha Shai-Hulud não ataca usuários finais diretamente. Em vez disso, compromete pacotes confiáveis e pipelines de construção, fazendo com que o malware seja incorporado automaticamente aos projetos a jusante durante os processos normais de desenvolvimento e lançamento. Como o código malicioso muitas vezes vem de registros de pacotes legítimos, possui assinaturas válidas e passa em verificações rotineiras, ele consegue se misturar — tornando a detecção difícil até que o dano seja feito. Por que isso importa “O software moderno é construído executando o código de outras pessoas”, disse Jeff Williams, CTO da Contrast Security, à Decrypt. “Desenvolvedores não simplesmente ‘baixam’ bibliotecas. Eles as instalam, constroem com elas, testam com elas, implantam com elas e, eventualmente, as executam. E se você executar uma biblioteca maliciosa, ela pode fazer quase tudo o que você pode fazer.” Ele alertou que avanços em IA pioram o problema, comparando o efeito a “transformar um computador em um agente duplo”. Incidentes reais e consequências - No início de maio, a Microsoft Threat Intelligence divulgou que atacantes haviam inserido código malicioso em um pacote da Mistral AI no PyPI. O malware também buscava um arquivo projetado para parecer a biblioteca Transformers da Hugging Face, para se misturar aos ambientes de ML. A Mistral posteriormente afirmou que um dispositivo de desenvolvedor afetado estava envolvido, mas não viu evidências de que sua própria infraestrutura tenha sido comprometida. - Dois dias depois, a OpenAI confirmou que dois dispositivos de funcionários foram infectados por malware ligado ao Shai-Hulud, o que brevemente deu aos atacantes acesso a um número limitado de repositórios internos de código. A empresa relatou não haver evidências de que dados de clientes, sistemas de produção ou propriedade intelectual tenham sido comprometidos. - A campanha atraiu atenção mais ampla após um ataque em 11 de maio à TanStack, um framework JavaScript de código aberto amplamente utilizado que impulsiona muitos aplicativos web e em nuvem. Abrangência e atores Pesquisadores rastrearam variantes anteriores do Shai-Hulud até setembro de 2025 e as ligaram a cibercriminosos operando sob o pseudônimo TeamPCP. O grupo criminoso posteriormente afirmou ter roubado aproximadamente 4.000 repositórios privados do GitHub e oferecido os dados para venda — o GitHub afirma estar investigando acessos não autorizados a repositórios internos. Enquanto isso, a empresa de segurança OX Security relatou pacotes imitadores já circulando que roubam credenciais de carteiras de criptomoedas e nuvem, chaves SSH e variáveis de ambiente, e algumas variantes também tentam recrutar máquinas infectadas em botnets DDoS. Notas técnicas e pistas de atribuição A OX Security observou que algumas novas amostras são quase idênticas a uma fonte vazada do Shai-Hulud sem ofuscação, sugerindo que diferentes atores estão reempacotando o código em vez de desenvolver novas variantes. Esse tipo de reutilização acelera a propagação: o comprometimento de um pacote pequeno ou obscuro fornece ao atacante um canal para todos os projetos a jusante que confiam nele, permitindo roubo de tokens, publicação maliciosa e repetidas rodadas de envenenamento. Por que projetos de criptomoedas devem prestar atenção Para equipes de blockchain e criptomoedas, a superfície de ataque inclui máquinas de desenvolvedores, CI/CD, registros de pacotes e sistemas de publicação automatizada — áreas que os atacantes estão cada vez mais visando porque oferecem alta alavancagem. Quando credenciais de carteira, variáveis de ambiente ou chaves API em nuvem são expostas por meio de uma dependência comprometida ou cache de construção, os atacantes podem migrar dos ambientes de desenvolvimento para sistemas de produção e ativos financeiros. Defesas práticas Especialistas enfatizam que a cadeia de suprimentos de software já não é uma simples cadeia, mas uma rede de propagação, e as defesas devem refletir isso. As mitigações recomendadas incluem: - Controles mais rigorosos sobre dependências e fixação estrita de versões. - Medidas mais fortes para publicação e lançamentos assinados e verificados. - Credenciais com privilégios mínimos para CI/CD e rotação regular de tokens. - Ambientes de construção isolados e caches de construção imutáveis. - Varreduras automatizadas para detecção de manipulação de dependências e feeds de inteligência de ameaças para identificar pacotes maliciosos precocemente. “Shai-Hulud é um lembrete de que a superfície de ataque se estende muito além das camadas tradicionais da aplicação e entra nos pacotes de código aberto que impulsionam os fluxos modernos de desenvolvimento e implantação”, disse Joris Van De Vis, Diretor de Pesquisa em Segurança da SecurityBridge, à Decrypt. Para construtores de criptomoedas, isso significa proteger a pipeline de desenvolvimento é tão importante quanto proteger contratos inteligentes e carteiras — porque uma construção envenenada pode ser o caminho mais rápido para fundos comprometidos. Conclusão: atacantes estão armando infraestrutura confiável. Projetos que dependem de pacotes públicos, CI/CD automatizado e caches compartilhados devem adotar controles mais rigorosos e detecção rápida para manter o código — e as criptomoedas — seguros.

Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.