A cadeia de fornecimento de software está sob o cerco do “Shai Hulud v2”, uma sofisticada campanha de malware que comprometeu 834 pacotes nos ecossistemas NPM e Maven.
Esta nova onda visa especificamente fluxos de trabalho do GitHub Actions, explorando gatilhos pull_request_target para injetar código malicioso em bibliotecas amplamente utilizadas.
O ataque impactou grandes projetos como PostHog, Zapier e AsyncAPI, aproveitando tokens de automação comprometidos para infectar sistematicamente dependências downstream.
O processo de infecção depende de um carregador furtivo de dois estágios iniciado por um script de pré-instalação chamado setupbun.js.
Este script instala o tempo de execução Bun para executar uma carga ofuscada, bunenvironment.js, enquanto suprime a saída padrão para evitar a detecção durante os logs de construção.
Ao passar por pipelines de CI comprometidos, o malware obtém acesso privilegiado aos segredos do repositório, permitindo-lhe modificar o código-fonte, incrementar versões de patches e republicar pacotes infectados em registros públicos.
Os analistas de segurança do Socket.dev identificaram o mecanismo de persistência exclusivo do malware, observando o uso de uma frase de sinalização, “Sha1-Hulud The Second Coming”, pesquisando efetivamente no GitHub para reativar infecções.
Isso garante que, mesmo que os repositórios individuais sejam limpos, os invasores possam localizar e comprometer novamente os endpoints vulneráveis.
Impacto da campanha
O impacto da campanha é extenso, expondo credenciais confidenciais de dezenas de milhares de repositórios e marcando uma evolução perigosa nos ataques automatizados à cadeia de abastecimento.
Uma vez instalado em um ambiente de CI, o malware executa uma rotina abrangente de coleta de credenciais. Ele captura todas as variáveis de ambiente disponíveis, visando especificamente GITHUB_TOKEN, NPM_TOKEN e AWS_ACCESS_KEY_ID, enquanto implanta simultaneamente um binário TruffleHog para verificar o sistema de arquivos local em busca de segredos incorporados.
Sha1-Hulud – A Segunda Vinda (Fonte – Socket.dev)
Ao contrário dos raspadores típicos, essa carga útil enumera agressivamente a infraestrutura em nuvem, percorrendo todas as regiões da AWS, Google Cloud e Azure para extrair segredos de cofres gerenciados.
Todos os dados roubados são ocultados usando três camadas de codificação Base64 antes de serem exfiltrados para um repositório GitHub gerado aleatoriamente e criado na conta da vítima.
Além disso, o malware tenta escalar privilégios em executores Linux manipulando sudoers ou executando comandos Docker run –privileged para obter acesso root.
Se nenhuma credencial válida for encontrada para propagar o worm, o malware executa uma função de limpeza destrutiva que exclui os arquivos.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
