O malware **Shai-Hulud**, vazado na semana passada, está agora sendo explorado em novos ataques que visam o índice do **Node Package Manager (npm)**, com pacotes infectados aparecendo durante o fim de semana. Um ator de ameaça operando sob a conta *deadcode09284814* publicou quatro pacotes maliciosos no npm. Um desses pacotes incorporava uma versão não ofuscada do **Shai-Hulud**, visando credenciais de desenvolvedores, segredos, dados de carteiras de criptomoedas e informações de contas. Todos os pacotes maliciosos foram projetados para exfiltrar informações sensíveis, como credenciais e arquivos de configuração. Um pacote foi além, transformando o sistema comprometido em um bot para ataques de negação de serviço distribuído (DDoS). ### Ataque de Typosquatting Pesquisadores da **OXsecurity**, uma empresa focada em segurança de aplicações, descobriram esses uploads maliciosos. O ator de ameaça empregou técnicas de typosquatting, usando nomes com erros de digitação para atingir usuários do **Axios**, juntamente com alguns nomes genéricos: 1. **chalk-tempalte** – Clone do Shai-Hulud (roubo de informações) 2. **@deadcode09284814/axios-util** – Roubo de credenciais e configurações de nuvem 3. **axois-utils** – Roubo de informações + botnet DDoS persistente ("phantom bot") 4. **color-style-utils** – Roubo básico de informações visando carteiras de criptomoedas e informações de IP De acordo com os pesquisadores, o pacote *chalk-tempalte* contém um clone do malware **Shai-Hulud**, anteriormente atribuído ao grupo hacker **TeamPCP**, responsável pelo recente [ataque de cadeia de suprimentos no Mini Shai-Hulud](https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/). O malware surgiu no **GitHub** na semana passada, acompanhado por uma mensagem supostamente do **TeamPCP**: "Here We Go Again - Let the Carnage Continue. A Gift from TeamPCP." O pacote *chalk-tempalte* marca a primeira instância documentada de um clone do **Shai-Hulud** sendo implantado no npm. No entanto, a **OXsecurity** observa que é um exemplo básico, essencialmente uma cópia não modificada do código-fonte vazado, sem quaisquer medidas de proteção. "Uma evidência incriminadora de que este é um ator diferente do **TeamPCP** é que o código do malware **Shai-Hulud** é uma cópia quase exata do código-fonte vazado, sem técnicas de ofuscação, o que torna a versão final visualmente diferente da original", explica a **OXsecurity**. O malware rouba credenciais, segredos, dados de carteiras de criptomoedas e informações de contas, exfiltrando-as para um servidor de comando e controle (C2) em 87e0bbc636999b[.]lhr[.]life. O código mantém a funcionalidade de publicação no **GitHub**, carregando automaticamente credenciais roubadas para repositórios públicos e auto-gerados. ### Capacidades DDoS Dos quatro pacotes, *axois-utils* se destaca devido à inclusão de capacidades DDoS, além da funcionalidade de roubo de informações comum a todos os quatro pacotes. O pacote suporta inundações HTTP, TCP e UDP, bem como ataques de reset TCP. Os pesquisadores também descobriram referências internas a um "phantom bot".  **Código de ataque DDoS** *Fonte: OXsecurity* A [campanha Shai-Hulud](https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/) passou por múltiplas iterações [desde setembro de 2025](https://www.bleepingcomputer.com/news/security/self-propagating-supply-chain-attack-hits-187-npm-packages/), comprometendo dados de desenvolvedores ao injetar malware em projetos legítimos. Credenciais roubadas de contas com direitos de publicação foram então usadas para expor informações exfiltradas em repositórios públicos do **GitHub**. Essas campanhas foram atribuídas ao grupo hacker **TeamPCP**. Em um relatório anterior, a **OXsecurity afirma** que os atores de ameaça rapidamente copiaram o código-fonte do malware e começaram a modificá-lo para expandir suas capacidades. Os pesquisadores aconselham os desenvolvedores que baixaram pacotes npm infectados a removê-los imediatamente e rotacionar suas credenciais e chaves de API em sistemas afetados. A **OXsecurity** relata que os quatro pacotes tiveram um total de 2.678 downloads.