Uma nova onda do ataque à cadeia de suprimentos Shai-Hulud v2 atingiu o ecossistema Maven após comprometer mais de 830 pacotes no registro npm. A equipe de pesquisa da Socket identificou um pacote Maven Central, org.mvnpm:posthog-node:4.18.1, que contém componentes associados ao Shai-Hulud: o carregador “setup_bun.js” e o payload “bun_environment.js”. Este pacote não é publicado pelo próprio PostHog, mas gerado automaticamente para converter pacotes npm em artefatos Maven.
O Maven Central está implementando proteções adicionais para evitar que componentes comprometidos sejam redistribuídos. Até 25 de novembro de 2025, todas as cópias espelhadas foram removidas. O ataque visa roubar dados sensíveis, como chaves de API e credenciais de nuvem, e comprometer a cadeia de suprimentos de forma generalizada. A nova versão do ataque é mais furtiva e destrutiva, permitindo que invasores acessem contas de mantenedores do npm e publiquem versões trojanizadas de pacotes.
Os invasores utilizam dois fluxos de trabalho maliciosos: um registra a máquina da vítima como um executor auto-hospedado, permitindo execução de comandos arbitrários, e outro coleta sistematicamente segredos. Mais de 28.000 repositórios foram afetados. A técnica de evasão inclui exfiltrar dados para repositórios públicos do GitHub com nomes aleatórios, aumentando a escala do ataque.
A análise revelou que os atacantes exploraram vulnerabilidades em fluxos de trabalho do GitHub Actions, especificamente em configurações de CI mal configuradas. Um único erro de configuração pode transformar um repositório em um ponto de partida para um ataque rápido e disseminado.
Especialistas recomendam a rotação de tokens e chaves, auditoria de dependências, remoção de versões comprometidas e fortalecimento dos ambientes de desenvolvimento e CI/CD. A campanha Shai-Hulud v2 destaca a facilidade com que a cadeia de suprimentos de software pode ser comprometida, enfatizando a necessidade de mudanças na forma como o software é construído e consumido.
Fonte:https://thehackernews.com/2025/11/shai-hulud-v2-campaign-spreads-from-npm.html
