- Mais de 400 pacotes NPM foram infectados pelo malware Shai Hulud.
- Pelo menos 10 bibliotecas críticas do ENS e do ecossistema cripto foram afetadas.
- Pesquisadores alertam para contaminação rápida, com mais de 25 mil repositórios atingidos.
Um ataque de supply chain ao NPM comprometeu centenas de pacotes JavaScript. Entre eles estão bibliotecas essenciais usadas pelo Ethereum Name Service (ENS).
Além disso, o malware Shai Hulud se espalha sozinho e acendeu um alerta sobre vulnerabilidades no desenvolvimento do setor cripto.
Ataque atinge pacotes críticos e expõe risco no NPM
O pesquisador Charlie Eriksen, da Aikido Security, detectou infecções em mais de 400 pacotes NPM. Ele revisou cada caso manualmente para evitar falsos positivos. Entre os afetados, ao menos 10 estão ligados ao ecossistema cripto. Além disso, muitos têm dezenas de milhares de downloads semanais, o que aumenta o impacto do ataque.
O Shai Hulud funciona como um verme autônomo. Ele se replica, torna repositórios privados públicos e coleta credenciais armazenadas no ambiente. Portanto, qualquer sistema com chaves sensíveis corre risco imediato.
Entre os pacotes do ENS afetados estão content-hash (36 mil downloads semanais), address-encoder (37,5 mil), ensjs (30 mil), ethereum-ens (12,6 mil), ens-validation e ens-contracts. Outro pacote cripto comprometido é o crypto-addr-codec, com quase 35 mil downloads semanais.
Segundo Slava Demchuk, CEO da AMLBot:
“O malware coleta segredos, se replica e torna repositórios privados públicos. Assim, se houver chaves de acesso no ambiente, assuma que foram expostas.”
Escalada do ataque e conexão com incidentes anteriores
O Shai Hulud surgiu dias após o maior ataque NPM já registrado, que resultou no roubo de US$ 50 milhões em criptomoedas. No entanto, diferente do ataque anterior, este mira roubo de credenciais, não fundos digitais.
A Amazon Web Services alertou que o malware se espalhou rapidamente após o primeiro ataque, evidenciando sua velocidade. Por isso, a atenção de desenvolvedores e empresas deve ser imediata.
Escala massiva e impactos para o setor cripto
Pesquisadores da Wiz detectaram mais de 25 mil repositórios contaminados e 350 usuários afetados. Durante o pico, surgiam 1.000 novos repositórios infectados a cada 30 minutos.
Pacotes populares fora do setor cripto também sofreram impacto, incluindo módulos usados pela Zapier e bibliotecas com mais de 1,5 milhão de downloads semanais. Além disso, isso aumenta o risco para empresas e desenvolvedores.
Eriksen afirmou:
“Este ataque é massivo. Vai fazer o anterior parecer pequeno.”
Portanto, para o setor cripto, qualquer vazamento pode gerar perda de fundos, ataques secundários ou acesso não autorizado a sistemas privados.
Especialistas recomendam investigar imediatamente e reinstalar todos os pacotes afetados.
Fragilidades expostas
O incidente revela fragilidades na cadeia de dependências. Assim, reforça a necessidade de segurança ativa e monitoramento constante.
A propagação silenciosa do Shai Hulud exige atenção máxima nos próximos dias.
