Pacotes maliciosos publicados no índice do Node Package Manager (npm) durante o fim de semana estão explorando uma versão do malware Shai-Hulud, cujo código foi vazado na semana passada. Um ator que utiliza a conta “deadcode09284814” publicou quatro pacotes fraudulentos e incorporou a um deles uma cópia sem ofuscação do Shai-Hulud, direcionada a credenciais de desenvolvedores, segredos, dados de carteiras de criptomoedas e informações de contas.
Todos os pacotes incluíam rotinas para exfiltração de informações, como credenciais e arquivos de configuração. Um deles, identificado como “axois-utils”, também transformava o sistema em um bot para ataques de negação de serviço distribuído (DDoS), com suporte a inundações HTTP, TCP, UDP e ataques de reset TCP.
Pacotes infectados usam typosquatting
Os pesquisadores da OXsecurity, empresa que protege aplicações desde o código até a execução, descobriram os uploads maliciosos e notaram que o ator usou nomes com erros de grafia (typosquatting) mirando usuários da biblioteca Axios, além de alguns genéricos. São eles: “chalk-tempalte” (clone do Shai-Hulud), “@deadcode09284814/axios-util” (ladrão de credenciais e configurações de nuvem), “axois-utils” (ladrão de informações e botnet DDoS persistente) e “color-style-utils” (ladrão básico mirando carteiras cripto e IP).
O pacote “chalk-tempalte” contém um clone do Shai-Hulud, malware atribuído ao grupo hacker TeamPCP, responsável pelo recente ataque à cadeia de suprimentos de software chamado Mini Shai-Hulud. Segundo os especialistas da OXsecurity, trata-se de uma cópia não modificada do código-fonte vazado, sem qualquer proteção ou ofuscação, o que indica que o autor não é o TeamPCP original.
Malware exfiltra dados para C2 e GitHub
O código rouba credenciais, segredos, dados de carteiras de criptomoedas e informações de contas, exfiltrando-os para um servidor de comando e controle no endereço 87e0bbc636999b[.]lhr[.]life. O malware mantém a funcionalidade de publicação no GitHub, fazendo upload das credenciais roubadas para repositórios públicos gerados automaticamente.
A campanha Shai-Hulud tem múltiplas iterações desde setembro de 2025, roubando dados de desenvolvedores ao injetar malware em projetos legítimos. Os quatro pacotes tiveram um total de 2.678 downloads, segundo os pesquisadores. A recomendação para desenvolvedores que baixaram os pacotes infectados é removê-los imediatamente e rotacionar credenciais e chaves API nos sistemas afetados.






