Um ressurgimento massivo do malware da cadeia de suprimentos Sha1-Hulud atingiu o ecossistema de código aberto, comprometendo mais de 800 pacotes npm e dezenas de milhares de repositórios GitHub em uma campanha que os invasores apelidaram de “A Segunda Vinda”.
Essa onda sofisticada tem como alvo dependências de alto perfil de grandes organizações, incluindo AsyncAPI, Postman, PostHog, Zapier e ENS, afetando cerca de 132 milhões de downloads mensais.
O ataque aproveita o ambiente de execução Bun para contornar os métodos tradicionais de detecção e introduz um mecanismo de fallback catastrófico capaz de limpar os dados das vítimas.
A evolução mais alarmante desta variante é a sua volatilidade agressiva. Embora o objetivo principal continue sendo o roubo de credenciais, o malware inclui uma proteção destrutiva contra falhas que é acionada se não conseguir estabelecer persistência ou exfiltrar dados.
Se o malware não conseguir se autenticar no GitHub, criar um repositório, buscar um token GitHub ou localizar um token NPM, ele executará uma rotina de limpeza.
Ataque à cadeia de suprimentos Sha1-Hulud
Essa lógica tenta destruir todo o diretório inicial da vítima, excluindo todos os arquivos graváveis de propriedade do usuário atual. Essa mudança indica que, se o Sha1-Hulud não conseguir roubar credenciais ou proteger um canal de exfiltração, o padrão será a destruição catastrófica de dados para eliminar evidências ou causar interrupções.
A cadeia de ataque observada pela primeira vez pelo Aikido Security começa com um arquivo chamado setup_bun.js, que instala o tempo de execução Bun para executar a carga maliciosa principal contida em bun_environment.js. Este método permite que o malware opere fora do caminho de execução padrão do Node.js, muitas vezes evitando ferramentas de análise estática.
Uma vez ativo, o worm utiliza o TruffleHog para verificar o ambiente infectado em busca de chaves e tokens de API. Ao contrário das versões anteriores que usavam nomes de repositório codificados, esta iteração cria repositórios GitHub nomeados aleatoriamente para armazenar segredos roubados.
Esses repositórios são identificados pela descrição “Sha1-Hulud: The Second Coming”, com pesquisadores de segurança identificando atualmente aproximadamente 26.300 repositórios expostos.
Idan Dartikman, cofundador e CTO da Koi Security, enfatizou a escalada nas táticas. “Esta onda é maior, se espalha mais rapidamente e é mais violenta que a anterior”, afirmou Dartikman. “Há também uma grande mudança de segurança no NPM, e é muito possível que o ator da ameaça tenha trabalhado rápido para infectar o maior número possível de vítimas antes disso.”
O momento desta campanha parece calculado para preceder a revogação programada dos tokens clássicos do npm em 9 de dezembro de 2025. O compromisso afetou software de infraestrutura crítica, incluindo porções significativas dos ecossistemas AsyncAPI e Postman.
As equipes de segurança são aconselhadas a auditar imediatamente as dependências para os indicadores de arquivo específicos e alternar todas as credenciais expostas em ambientes CI/CD.
Organização da vítimaExemplos de escopo/pacote afetadosImpacto estimadoAsyncAPI@asyncapi/cli,@asyncapi/generator,asyncapi-previewFerramentas de desenvolvimento críticas usadas para arquiteturas orientadas a eventos.PostHog@posthog/cli,@posthog/node,posthog-jsIngestão de dados analíticos e infraestrutura de plug-ins.Postman@postman/collection-fork,@postman/tunnel-agentAPI utilitários de desenvolvimento e teste.Zapier@zapier/zapier-sdk,zapier-platform-coreSDKs de integração e automação.ENS Domains@ensdomains/ensjs,@ensdomains/thorinInterações de contrato e front-end do Ethereum Name Service.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
