O ecossistema JavaScript enfrenta um dos maiores incidentes de segurança já registrados. Um novo ataque do malware Shai-Hulud 2.0 comprometeu centenas de pacotes no NPM e expôs cerca de 400 mil segredos brutos, espalhando informações sensíveis para mais de 30 mil repositórios no GitHub.
Embora apenas 10 mil segredos tenham sido validados pela ferramenta open source TruffleHog, a plataforma de segurança em nuvem Wiz alerta: mais de 60% dos tokens NPM vazados continuam válidos, criando um risco real de novos ataques.
Como o ataque começou
A primeira versão do Shai-Hulud surgiu em setembro, após infectar 187 pacotes com uma payload maliciosa autorreplicante.
Essa payload:
- Coletava tokens utilizando o TruffleHog
- Injetava scripts maliciosos nos pacotes
- Publicava automaticamente versões comprometidas no NPM
A nova onda, entretanto, elevou o nível da ameaça: mais de 800 pacotes foram comprometidos e um recurso destrutivo foi adicionado — capaz de apagar o diretório home do sistema da vítima em cenários específicos.
Quais dados foram expostos?
A análise conduzida pela Wiz identificou um volume massivo de informações sensíveis.
Nos repositórios contaminados, foram encontrados:
- 70% com contents.json (tokens, snapshots e nomes de usuários GitHub)
- 50% com truffleSecrets.json (resultados do TruffleHog)
- 80% com environment.json (sistema operacional, dados CI/CD, pacotes e credenciais)
- 400 repositórios com actionsSecrets.json (segredos do GitHub Actions)
Como o malware rodou o TruffleHog sem a flag -only-verified, muitos dos 400 mil segredos seguem apenas formato conhecido — mas centenas continuam ativos e perigosos.
Ambientes mais afetados
A análise dos arquivos environment.json mostra:
- 87% das máquinas infectadas rodavam Linux
- 76% das infecções ocorreram dentro de containers
- 23% dos registros vieram de máquinas de desenvolvedores
- O restante veio de ambientes CI/CD
Entre as plataformas mais atingidas:
- GitHub Actions
- Jenkins
- GitLab CI
- AWS CodeBuild
Pacotes com maior impacto
Dois pacotes responderam por mais de 60% das infecções:
- @postman/tunnel-agent@0.6.7
- @asyncapi/specs@6.8.3
Pesquisadores afirmam que, se esses pacotes críticos tivessem sido bloqueados cedo, o impacto total teria sido muito menor.
Quase todas as infecções ocorreram durante o evento preinstall, quando era executado o script:node setup_bun.js
O que esperar daqui em diante
A Wiz acredita que os operadores do Shai-Hulud 2.0 vão continuar evoluindo seu malware e explorando a grande quantidade de credenciais coletadas.
Essa base de segredos vazados pode impulsionar novas ondas de ataques à cadeia de suprimentos, aumentando o risco para desenvolvedores, empresas e plataformas de CI/CD.
