Hack Alerta

Shai-Hulud v2: campanha atinge npm e aparece no Maven

Por Redação Hack Alerta Publicado em 26/11/2025 16:01 Riscos e Ameaças Tempo de leitura: 2 min

A segunda onda da campanha Shai-Hulud, que já comprometeu mais de 830 pacotes no npm, foi detectada no ecossistema Maven em um artefato org.mvnpm:posthog-node:4.18.1 contendo os componentes 'setup_bun.js' e 'bun_environment.js', segundo a Socket Research Team reportada pelo The Hacker News. Fontes não detalham vetores iniciais ou extensão em produção.

Segunda onda da campanha de cadeia de suprimento migra de npm para Maven

Pesquisadores identificaram que a segunda onda da campanha Shai-Hulud, conhecida por comprometer pacotes na cadeia de suprimento, se espalhou do registro npm para o ecossistema Maven, após a descoberta de artefatos maliciosos em um pacote no Maven Central.

Descoberta e escopo

De acordo com reportagem do The Hacker News, a Socket Research Team atribuiu a campanha à infiltração de mais de 830 pacotes no registro npm. A equipe detectou um pacote no Maven Central com a coordenada org.mvnpm:posthog-node:4.18.1 que incorpora os mesmos dois componentes associados ao Shai-Hulud: o loader "setup_bun.js" e o payload principal "bun_environment.js".

Abordagem técnica conhecida

As fontes citam especificamente os artefatos "setup_bun.js" (loader) e "bun_environment.js" (payload), indicando reutilização de componentes entre ecossistemas de pacotes. As matérias não trazem detalhes adicionais sobre vetores de compromisso iniciais, métodos de entrega em sistemas alvo ou indicadores de comprometimento além dos nomes de arquivos e da identificação do pacote Maven mencionado.

Impacto e alcance

  • Contagem inicial reportada: mais de 830 pacotes comprometidos no npm (segundo a Socket Research Team, conforme noticiado).
  • Propagação para Maven: detecção de pelo menos um pacote no Maven Central (org.mvnpm:posthog-node:4.18.1) que contém os componentes mencionados.

Limitações das informações

As fontes não descrevem quantos artefatos Maven, além do pacote citado, foram comprometidos; tampouco detalham indicações de exploração em ambientes de produção, infraestrutura de comando e controle, ou métricas de impacto em usuários finais. Não há afirmações de atribuição a atores específicos nas matérias consultadas.

Recomendações práticas (implícitas nas descobertas)

Embora as matérias não forneçam um conjunto de mitigação exaustivo, observações implícitas incluem a necessidade de revisão de dependências, verificação de integridade de pacotes (hashes e assinaturas), monitoramento de comportamento anômalo em builds/CI e auditoria dos artefatos de terceiros, especialmente quando componentes com nomes conhecidos de payloads forem detectados.

Fonte: The Hacker News (referenciando Socket Research Team)

Baseado em publicação original de The Hacker News
Tags: #supply-chain #npm #maven #malicious-package #artifact-security #dependencies #socket-research #shai-hulud #ci-cd
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar