Nova Variante do Worm Shai-Hulud Infecta 42 Pacotes npm via Envenenamento de Cache do GitHub Actions

13 de maio de 2026

Resumo

Uma nova variante do worm Shai-Hulud infectou 42 pacotes @tanstack/* através de um ataque "Pwn Request" via pull_request_target, combinado com envenenamento de cache do GitHub Actions e extração de tokens OIDC em runtime do processo Runner.Worker. O malware coletou credenciais AWS, GCP, Kubernetes, Vault, GitHub e SSH em todos os hosts de instalação. O worm usa o índice de busca de commits do GitHub como quadro de avisos peer-to-peer, onde hosts infectados encontram tokens roubados de outros através de consultas por strings específicas, e instala um mecanismo dead-man's switch no gh-token-monitor que dispara ações destrutivas se o token for revogado antes da remoção das unidades de persistência. Defensores devem remover a persistência (unidades launchd/systemd, hooks Claude Code SessionStart, VS Code tasks.json com runOn: folderOpen) antes de rotacionar tokens, bloquear egress para api.masscan.cloud e nós seed da sessão, e buscar por arquivos .github/workflows/*.yml.

Fontes

cybersecurityreach.orgfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 13 de maio de 2026
Editoria: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?