2026-05-01 00:00
← VoltarMais de 1.800 desenvolvedores foram afetados pelo ataque à cadeia de suprimentos Mini Shai-Hulud que atingiu os ecossistemas PyPi, NPM e PHP nos últimos dois dias. Atribuída ao grupo de hackers TeamPCP, a campanha foi detectada pela primeira vez em 29 de abril, depois que versões maliciosas de quatro pacotes SAP NPM foram flagradas entregando malware para roubo de informações e tentando se propagar para outros pacotes. O malware coletaria credenciais, chaves, tokens e outros segredos das máquinas infectadas e publicaria os dados em repositórios GitHub contendo a descrição codificada “Um Mini Shai-Hulud apareceu”. A mesma descrição foi usada em uma nova rodada de infecções ligadas ao comprometimento do pacote Lightning PyPi e do pacote intercom-client NPM, que têm uma contagem mensal combinada de downloads de quase 10 milhões. De acordo com a Ox Security, mais de 1.800 repositórios contendo credenciais de desenvolvedor roubadas foram criados como parte dos ataques do Mini Shai-Hulud. A campanha parece ser uma continuação dos ataques à cadeia de suprimentos Shai-Hulud do final de 2025. Como parte do ataque à cadeia de suprimentos, o pacote Lightning Python versões 2.6.2 e 2.6.3 e o pacote NPM intercom-client versões 7.0.4 e 7.0.5 foram injetados com o ladrão de informações. Anúncio.
Role para continuar lendo. Além disso, o ataque à cadeia de suprimentos se expandiu para o Packagist, por meio do intercom-php versão 5.0.2. Um pacote PHP popular, o intercom-php teve mais de 20...
Mais de 1.800 desenvolvedores foram afetados pelo ataque à cadeia de suprimentos Mini Shai-Hulud que atingiu os ecossistemas PyPi, NPM e PHP nos últimos dois dias. Atribuída ao grupo de hackers TeamPCP, a campanha foi detectada pela primeira vez em 29 de abril, depois que versões maliciosas de quatro pacotes SAP NPM foram flagradas entregando malware para roubo de informações e tentando se propagar para outros pacotes. O malware coletaria credenciais, chaves, tokens e outros segredos das máquinas infectadas e publicaria os dados em repositórios GitHub contendo a descrição codificada “Um Mini Shai-Hulud apareceu”. A mesma descrição foi usada em uma nova rodada de infecções ligadas ao comprometimento do pacote Lightning PyPi e do pacote intercom-client NPM, que têm uma contagem mensal combinada de downloads de quase 10 milhões. De acordo com a Ox Security, mais de 1.800 repositórios contendo credenciais de desenvolvedor roubadas foram criados como parte dos ataques do Mini Shai-Hulud. A campanha parece ser uma continuação dos ataques à cadeia de suprimentos Shai-Hulud do final de 2025. Como parte do ataque à cadeia de suprimentos, o pacote Lightning Python versões 2.6.2 e 2.6.3 e o pacote NPM intercom-client versões 7.0.4 e 7.0.5 foram injetados com o ladrão de informações. Anúncio.
Role para continuar lendo. Além disso, o ataque à cadeia de suprimentos se expandiu para o Packagist, por meio do intercom-php versão 5.0.2. Um pacote PHP popular, o intercom-php teve mais de 20 milhões de downloads vitalícios. O compromisso da Intercom foi resultado direto do ataque Lightning à cadeia de suprimentos. Uma instalação de pacote local usou o pacote Lightning PyPi infectado como dependência, relata Socket. Além das funções maliciosas observadas no comprometimento do SAP, a carga útil do Lightning e do Intercom adicionou uma infraestrutura dedicada para exfiltração de dados, o domínio de nuvem zero[.]masscan[.], observa a empresa de segurança cibernética Wiz. O código também implementa um mecanismo de fallback dinâmico que pesquisa no GitHub por commits contendo as strings ‘beautifulcastle’ e ‘EveryBoiWeBuildIsAWormyBoi’ para recuperar comandos de comando e controle (C&C) incorporados, diz NetSkope. Além disso, Wiz observou a carga útil do cliente de intercomunicação verificando ativamente ambientes Kubernetes e segredos do HashiCorp Vault.
“Ele consulta endpoints de serviço Kubernetes e configurações do Vault, usando extensa correspondência baseada em regex para extrair credenciais como chaves AWS, GitHub e tokens npm, strings de conexão de banco de dados, chaves privadas e segredos de API (por exemplo, Stripe, Slack, Twilio)”, diz Wiz. De acordo com o Aikido, o ladrão de informações também tem como alvo credenciais VPN, dados de carteiras de criptomoedas e dados de sessões do Discord e Slack. Relacionado: IA alimenta o crime cibernético “industrial” à medida que o tempo de exploração diminui para horas Relacionado: Falha crítica do Gemini CLI habilitada para execução de código de host, ataques à cadeia de suprimentos Relacionado: Checkmarx confirma dados roubados em ataque à cadeia de suprimentos Relacionado: Vulnerabilidade crítica do GitHub exposta a milhões de repositórios