Centenas de pacotes nos repositórios npm e PyPI foram comprometidos na campanha Shai-Hulud (TeamPCP), que rouba credenciais de desenvolvedores. O invasor sequestrou tokens OIDC válidos para publicar versões maliciosas com assinaturas legítimas, informou a empresa StepSecurity.
O ataque começou com pacotes do TanStack e da Mistral AI e se espalhou para projetos como Guardrails AI, UiPath e OpenSearch. A onda mais recente ocorreu ontem, segundo a StepSecurity.
Dados alvo e persistência
O malware rouba tokens do GitHub, credenciais AWS, chaves SSH, tokens do Kubernetes e arquivos .env. Para exfiltrar os dados, usou a rede Session, o que dificulta a detecção, afirmou a StepSecurity. Após a infecção, o malware se instala em hooks do Claude Code e tarefas do VS Code, não sendo removido com a desinstalação dos pacotes, explicou a empresa de segurança Socket.
A Microsoft Threat Intelligence analisou a carga útil em um pacote da Mistral AI. O malware evita executar em sistemas com idioma russo e, em máquinas do Irã ou Israel, pode executar rm -rf / para apagar dados.
Segundo a análise do código da biblioteca, o arquivo src/mistrolai/client/__init__.py contém uma backdoor que é executada automaticamente no momento da importação do pacote. O código baixa um payload malicioso do endereço https://83.142.209.194/transformers.pyz e o executa em segundo plano em sistemas Linux. Quem tiver utilizado essa versão deve rotacionar imediatamente todas as credenciais (tokens GitHub, AWS, chaves SSH e variáveis de ambiente), verificar e remover o arquivo /tmp/transformers.pyz, revisar processos em execução no sistema, remover o pacote mistrolai versão 2.4.6 e bloquear o IP 83.142.209.194 no firewall.
