Worm Shai Hulud infecta repositórios públicos

O worm Shai Hulud voltou com força e atacou o ecossistema de desenvolvimento: mais de 26 mil repositórios públicos de código foram infectados, segundo pesquisadores da Aikido Security.
A nova campanha é muito mais rápida — só nas primeiras horas da manhã de hoje, mais de 19 mil projetos já estavam contaminados, incluindo ferramentas como go-template, AsyncAPI, PostHog, Postman, Zapier e ENS.

Como funciona o ataque

O objetivo é roubar credenciais armazenadas nos computadores dos desenvolvedores, como chaves de acesso para AWS, GitHub, npm e outros serviços cloud.
O worm escaneia computadores e contas ligadas, usando a ferramenta TruffleHog para garimpar todos os segredos disponíveis.
Além disso, as credenciais roubadas são imediatamente usadas para invadir e contaminar ainda mais pacotes, transformando cada vítima em novo vetor de ataque em tempo real.

Os atacantes aprenderam com erros anteriores e agora jogam credenciais roubadas direto em repositórios públicos do GitHub, acelerando o impacto.

Impacto

Mesmo com falhas técnicas que limitaram parte dos danos, mais de 132 milhões de downloads mensais estão potencialmente comprometidos.
Cerca de 425 pacotes apresentam sinais do worm e mais de 26,300 repos já têm dados expostos, marcados como “Sha1-Hulud: The Second Coming”.

Recomendações imediatas para desenvolvedores

  • Desinstalar imediatamente quaisquer pacotes comprometidos.
  • Trocar todas as credenciais (GitHub, npm, cloud, CI/CD).
  • Auditar todas as dependências e procurar por repositórios estranhos com “Sha1-Hulud: The Second Coming” na descrição.
  • Desabilitar scripts npm postinstall em pipelines de CI.
  • Habilitar autenticação multifator (MFA) em todas as contas.
  • Esse ataque reflete a prioridade dos criminosos em atingir desenvolvedores — manter vigilância contínua é indispensável para garantir a segurança da cadeia de software.