🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O malware Shai-Hulud vazado na semana passada agora é usado em novos ataques ao Ãndice Node Package Manager (npm), à medida que pacotes infectados surgiram no fim de semana.
Um agente de ameaça que usou a conta deadcode09284814 publicou quatro pacotes maliciosos no npm e incorporou um deles a uma versão não ofuscada do Shai-Hulud que tinha como alvo credenciais de desenvolvedor, segredos, dados de carteira de criptomoeda e informações de conta.
Todos os pacotes não autorizados incluÃam rotinas que exfiltravam informações, como credenciais e arquivos de configuração, mas um deles também transformou o sistema em um bot para atividades distribuÃdas de negação de serviço (DDoS).
Pesquisadores da OXsecurity, uma empresa que protege aplicativos desde o código até o tempo de execução, descobriram os uploads maliciosos no fim de semana e notaram que o autor da ameaça usou nomes com erros ortográficos (typosquatting) direcionados a usuários do Axios e alguns genéricos:
giz-tempalte Рclone Shai-Hulud (ladṛo de informa̵̤es)
@deadcode09284814/axios-util РLadṛo de credenciais e configura̤̣o de nuvem
axois-utils – Infostealer + botnet DDoS persistente (“bot fantasma”)
color-style-utils – Infostealer básico direcionado a carteiras criptografadas e informações de IP
De acordo com os pesquisadores, o pacote de giz-tempalte contém um clone do malware Shai-Hulud atribuÃdo ao grupo de hackers TeamPCP responsável pelo recente ataque à cadeia de suprimentos de software Mini Shai-Hulud.
O malware surgiu no GitHub na semana passada, com uma mensagem supostamente do TeamPCP dizendo "Lá vamos nós de novo - deixe a carnificina continuar. Um presente do TeamPCP".
O pacote giz-tempalte parece ser o primeiro caso documentado de um clone Shai-Hulud implantado no npm, embora Ox observe que não é um exemplo sofisticado, mas sim uma cópia não modificada do código-fonte vazado sem qualquer proteção.
“Uma evidência incriminatória de que este é um ator diferente do TeamPCP é que o código do malware Shai-Hulud é uma cópia quase exata do código-fonte vazado, sem técnicas de ofuscação, o que torna a versão final visualmente diferente da original”, explica OXsecurity.
O malware rouba credenciais, segredos, dados de carteiras criptografadas e informações de contas e os exfiltra para um servidor de comando e controle (C2) em 87e0bbc636999b[.]lhr[.]life.
O código mantém a funcionalidade de publicação do GitHub, portanto carrega credenciais roubadas para repositórios públicos gerados automaticamente.
Dos outros três pacotes, ‘axois-utils’ se destaca por incluir capacidade DDoS, além da funcionalidade de roubo de informações presente em todos os quatro pacotes.
O pacote suporta inundações HTTP, TCP e UDP, bem como ataques de redefinição de TCP, enquanto os pesquisadores também encontraram referências internas a um “bot fantasma”.
Código de ataque DDoSFonte: OXsecurity
A campanha Shai-Hulud teve diversas iterações desde setembro de 2025, roubando dados de desenvolvedores ao injetar malware em projetos legÃtimos. Depois de roubar credenciais de contas com direitos de publicação, as informações exfiltradas foram expostas em repositórios públicos do GitHub. As campanhas foram atribuÃdas ao grupo hacker TeamPCP.
Em um relatório anterior, a OXsecurity afirma que os agentes de ameaças copiaram rapidamente o código-fonte do malware e começaram a modificá-lo para ampliar seus recursos.
Os pesquisadores recomendam que os desenvolvedores que baixaram pacotes npm infectados os removam imediatamente e alternem suas credenciais e chaves de API nos sistemas afetados.
A OXsecurity observa que os quatro pacotes tiveram uma contagem combinada de downloads de 2.678.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfÃcies que você realmente precisa validar.
Baixe agora
Um agente de ameaça que usou a conta deadcode09284814 publicou quatro pacotes maliciosos no npm e incorporou um deles a uma versão não ofuscada do Shai-Hulud que tinha como alvo credenciais de desenvolvedor, segredos, dados de carteira de criptomoeda e informações de conta.
Todos os pacotes não autorizados incluÃam rotinas que exfiltravam informações, como credenciais e arquivos de configuração, mas um deles também transformou o sistema em um bot para atividades distribuÃdas de negação de serviço (DDoS).
Pesquisadores da OXsecurity, uma empresa que protege aplicativos desde o código até o tempo de execução, descobriram os uploads maliciosos no fim de semana e notaram que o autor da ameaça usou nomes com erros ortográficos (typosquatting) direcionados a usuários do Axios e alguns genéricos:
giz-tempalte Рclone Shai-Hulud (ladṛo de informa̵̤es)
@deadcode09284814/axios-util РLadṛo de credenciais e configura̤̣o de nuvem
axois-utils – Infostealer + botnet DDoS persistente (“bot fantasma”)
color-style-utils – Infostealer básico direcionado a carteiras criptografadas e informações de IP
De acordo com os pesquisadores, o pacote de giz-tempalte contém um clone do malware Shai-Hulud atribuÃdo ao grupo de hackers TeamPCP responsável pelo recente ataque à cadeia de suprimentos de software Mini Shai-Hulud.
O malware surgiu no GitHub na semana passada, com uma mensagem supostamente do TeamPCP dizendo "Lá vamos nós de novo - deixe a carnificina continuar. Um presente do TeamPCP".
O pacote giz-tempalte parece ser o primeiro caso documentado de um clone Shai-Hulud implantado no npm, embora Ox observe que não é um exemplo sofisticado, mas sim uma cópia não modificada do código-fonte vazado sem qualquer proteção.
“Uma evidência incriminatória de que este é um ator diferente do TeamPCP é que o código do malware Shai-Hulud é uma cópia quase exata do código-fonte vazado, sem técnicas de ofuscação, o que torna a versão final visualmente diferente da original”, explica OXsecurity.
O malware rouba credenciais, segredos, dados de carteiras criptografadas e informações de contas e os exfiltra para um servidor de comando e controle (C2) em 87e0bbc636999b[.]lhr[.]life.
O código mantém a funcionalidade de publicação do GitHub, portanto carrega credenciais roubadas para repositórios públicos gerados automaticamente.
Dos outros três pacotes, ‘axois-utils’ se destaca por incluir capacidade DDoS, além da funcionalidade de roubo de informações presente em todos os quatro pacotes.
O pacote suporta inundações HTTP, TCP e UDP, bem como ataques de redefinição de TCP, enquanto os pesquisadores também encontraram referências internas a um “bot fantasma”.
Código de ataque DDoSFonte: OXsecurity
A campanha Shai-Hulud teve diversas iterações desde setembro de 2025, roubando dados de desenvolvedores ao injetar malware em projetos legÃtimos. Depois de roubar credenciais de contas com direitos de publicação, as informações exfiltradas foram expostas em repositórios públicos do GitHub. As campanhas foram atribuÃdas ao grupo hacker TeamPCP.
Em um relatório anterior, a OXsecurity afirma que os agentes de ameaças copiaram rapidamente o código-fonte do malware e começaram a modificá-lo para ampliar seus recursos.
Os pesquisadores recomendam que os desenvolvedores que baixaram pacotes npm infectados os removam imediatamente e alternem suas credenciais e chaves de API nos sistemas afetados.
A OXsecurity observa que os quatro pacotes tiveram uma contagem combinada de downloads de 2.678.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfÃcies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #vazamento #de #malware #shaihulud #alimenta #nova #campanha #de #infostealer #npm
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário