O worm Shai Hulud voltou com força e atacou o ecossistema de desenvolvimento: mais de 26 mil repositórios públicos de código foram infectados, segundo pesquisadores da Aikido Security.
A nova campanha é muito mais rápida — só nas primeiras horas da manhã de hoje, mais de 19 mil projetos já estavam contaminados, incluindo ferramentas como go-template, AsyncAPI, PostHog, Postman, Zapier e ENS.
Como funciona o ataque
O objetivo é roubar credenciais armazenadas nos computadores dos desenvolvedores, como chaves de acesso para AWS, GitHub, npm e outros serviços cloud.
O worm escaneia computadores e contas ligadas, usando a ferramenta TruffleHog para garimpar todos os segredos disponíveis.
Além disso, as credenciais roubadas são imediatamente usadas para invadir e contaminar ainda mais pacotes, transformando cada vítima em novo vetor de ataque em tempo real.
Os atacantes aprenderam com erros anteriores e agora jogam credenciais roubadas direto em repositórios públicos do GitHub, acelerando o impacto.
Impacto
Mesmo com falhas técnicas que limitaram parte dos danos, mais de 132 milhões de downloads mensais estão potencialmente comprometidos.
Cerca de 425 pacotes apresentam sinais do worm e mais de 26,300 repos já têm dados expostos, marcados como “Sha1-Hulud: The Second Coming”.
Recomendações imediatas para desenvolvedores
- Desinstalar imediatamente quaisquer pacotes comprometidos.
- Trocar todas as credenciais (GitHub, npm, cloud, CI/CD).
- Auditar todas as dependências e procurar por repositórios estranhos com “Sha1-Hulud: The Second Coming” na descrição.
- Desabilitar scripts npm postinstall em pipelines de CI.
- Habilitar autenticação multifator (MFA) em todas as contas.
- Esse ataque reflete a prioridade dos criminosos em atingir desenvolvedores — manter vigilância contínua é indispensável para garantir a segurança da cadeia de software.






