O Que É o Shai Hulud 2.0 e Como Ele Ataca?
O Shai Hulud 2.0, um malware de worm inspirado nos vermes de Duna, emergiu em setembro de 2023. Distribuído pelo npm, este vírus segue os passos da primeira versão, mas introduz técnicas mais sofisticadas, incluindo a exclusão de arquivos caso não consiga extrair dados. Especialistas da Kaspersky alertam que mais de 800 pacotes npm foram infectados, com vítimas em Brasil, Índia, Rússia e outros países.
Funcionamento em Dois Estágios
Quando um desenvolvedor instala um pacote comprometido, o script setup_bun.js executa-se durante a pré-instalação, fingindo ser uma ferramenta legítima de instalação do Bun runtime. Além disso, este script prepara o ambiente para o segundo estágio, onde o bun_environment.js (10MB) rouba credenciais de GitHub, Azure, AWS e Google Cloud.
Métodos de Exfiltração e Autoreplicação
O malware cria repositórios públicos no GitHub para armazenar dados roubados. Caso não encontre tokens, busca informações em outros repositórios marcados com “Sha1-Hulud: The Second Coming“. Para propagar-se, extrai tokens do .npmrc e publica pacotes infectados em nome das vítimas.
Impacto e Prevenção
Desde setembro, 1.700 ataques foram bloqueados pela Kaspersky, com 18,5% na Rússia e 9,7% no Brasil. Profissionais de TI devem verificar a autenticidade de pacotes npm e evitar scripts não documentados. Em conclusão, o Shai Hulud 2.0 exige vigilância rigorosa para evitar perdas irreparáveis.