Pacote PHP Malicioso do Intercom Espalha Ataque Mini Shai-Hulud para o Packagist via Plugin Composer

07 de maio de 2026

Resumo

Atacantes sobrescreveram o pacote intercom/intercom-php 5.0.2 no Packagist com um plugin malicioso do Composer que executa no momento da instalação. Este plugin baixa o runtime Bun e um payload ofuscado que exfiltra tokens do GitHub, chaves SSH, credenciais de cloud e variáveis de ambiente para zero.masscan.cloud. A campanha estende o ataque Mini Shai-Hulud do npm (onde intercom-client 7.0.4 foi comprometido via um preinstall hook no mesmo dia) para PHP, explorando o modelo de reindexação do Packagist, que é acionado por webhooks e não possui uma quarentena pré-publicação. Para defesa, é crucial fixar as versões, auditar o `composer.lock` em busca da release maliciosa, procurar por IOCs (Indicadores de Compromisso), incluindo `setup-intercom.sh`, `router_runtime.js`, `src/composerPlugin.php` e artefatos `.claude/.vscode`, além de rotacionar quaisquer credenciais expostas em máquinas que executaram `composer install` ou `composer update` desde o comprometimento.

Fontes

semgrep.devfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 07 de maio de 2026
Editoria: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?