Uma campanha de supply chain identificada por pesquisadores comprometeu contas NPM do Zapier e do ENS, injetando código auto‑propagador em dependências centrais e criando mais de 19.000 repositórios públicos com credenciais roubadas.
Descoberta e panorama
Relatada pelo setor de pesquisa e divulgada via Aikido Security/Cybersecurity News, a onda batizada pelo atacante como "Shai Hulud: The Second Coming" atingiu pacotes utilizados por Zapier e Ethereum Name Service (ENS). Em apenas cinco horas a campanha superou o impacto de uma onda inicial observada em setembro, segundo a análise disponível.
Vetor e comportamento do malware
Os artefatos injetados se comportam como um worm self‑propagating: ao instalar um pacote infectado, o código executa uma rotina para caçar segredos (NPM tokens, GitHub Personal Access Tokens e chaves de cloud) e usa as credenciais obtidas para publicar e comprometer novas bibliotecas e repositórios.
- Pacotes confirmados como comprometidos (entre outros):
zapier-platform-core,zapier-platform-cli,zapier-platform-schema,@zapier/secret-scrubber, além de múltiplos pacotes do ecossistema ENS como@ensdomains/ensjseethereum-ens. - Comportamento de exfiltração: uso de ferramentas tipo TruffleHog para localizar e extrair segredos.
- Propagação pública: atores criaram >19.000 repositórios com nomes/descrições "Shai Hulud: The Second Coming", expondo credenciais publicamente.
Impacto e alcance
O ataque atinge diretamente a confiança na cadeia de suprimentos de software: bibliotecas centrais infectadas podem comprometer ambientes de desenvolvimento e pipelines CI/CD, resultando em escalonamento rápido por meio da reutilização automática de tokens. A exposição pública imediata das credenciais facilita a reutilização por terceiros maliciosos antes que vítimas tenham chance de rotacioná‑las.
Mitigações sugeridas
As recomendações práticas apontadas na matéria incluem:
- Assumir comprometimento total dos ambientes que consumiram pacotes listados e rotacionar imediatamente NPM tokens, GitHub PATs e chaves de cloud;
- Auditar dependências e procurar por repositórios públicos com padrão de nome/descrição relacionados a "Shai Hulud";
- Desabilitar temporariamente scripts postinstall em pipelines CI/CD onde possível e forçar MFA para mantenedores de pacotes;
- Congelar versões de dependências (lockfiles) e utilizar ferramentas de segurança de cadeia de suprimentos (ex.: SafeChain) para bloquear execuções automáticas até a contenção.
Limites das informações
A cobertura técnica disponível foi produzida a partir de investigação de Aikido Security e reportagem no Cybersecurity News; as fontes listam pacotes confirmados, comportamento do worm e o número de repositórios criados, mas não divulgam indicadores de C2, hashes de malware ou uma lista completa de todas as bibliotecas afetadas além das citadas na matéria.
Recomendações para equipes
Times de desenvolvimento e segurança devem priorizar resposta em três frentes: (1) rotação de credenciais e revogação de tokens, (2) inventário e varredura de dependências em projetos internos e CI, (3) investigação de caixas/contas de mantenedores para detectar atividade não autorizada. A exposição pública dos segredos aumenta a janela de risco e exige ação imediata.