Worm no cluster Hades do PyPI abusa de startup hooks do Python

O worm Hades é uma campanha ativa de ataque à cadeia de suprimentos no PyPI, identificada em 7 de junho de 2026 pela Socket, que explora ganchos de inicialização do Python via arquivos .pth para executar código malicioso sem interação do desenvolvedor. Diferentemente de ataques tradicionais que dependem de importações explícitas, o Hades injeta um arquivo hades-setup.pth nos pacotes comprometidos — 37 wheels em 19 a 26 pacotes distintos, com foco em bioinformática, deep learning e aprendizado de máquina em grafos (ex.: torch-geometric, biopython derivados). Ao iniciar o interpretador Python, o arquivo .pth dispara automaticamente um download do runtime Bun 1.3.13/1.3.14 do GitHub e executa um script JavaScript ofuscado (_index.js) que rouba credenciais de AWS, GCP, Azure, GitHub (incluindo tokens de Actions), PyPI, npm, RubyGems, chaves SSH, arquivos .env, configurações de Docker Registry e até histórico de shell. A campanha também usa tráfego HTTPS falso para a API da Anthropic como canal de exfiltração, dificultando detecção por ferramentas de rede.

Trata-se de uma evolução direta do worm Shai-Hulud, cujo código-fonte foi publicado pelo grupo TeamPCP em maio de 2026, desencadeando variantes como o Mini Shai-Hulud (abril/2026) e o Miasma. Casos recentes incluem a infecção do repositório Pythagora-io/gpt-pilot (via conta GitHub comprometida LeonOstrez) e a detecção acidental do malware por ruff, um formatador de código Python que rejeitou o payload por violar regras de linting — evidência de que práticas de engenharia de software rigorosas podem funcionar como defesa emergencial.

O Hades representa um salto qualitativo na ameaça à cadeia de suprimentos de Python: ele não depende de engenharia social ou execução manual, mas sim de um mecanismo legítimo do ecossistema (.pth hooks) para obter execução automática no momento da inicialização do Python — mesmo em ambientes isolados ou CI/CD não interativos. Isso torna o ataque altamente escalável e difícil de detectar com scanners tradicionais, pois não envolve imports suspeitos, strings de comando óbvias ou payloads binários. Além disso, o alvo estratégico em pacotes científicos e de IA (com centenas de milhares de downloads) amplifica o impacto: um único pacote comprometido pode infectar pipelines de ML, clusters Kubernetes e infraestrutura de nuvem em escala empresarial. A integração com ferramentas de IA (como gpt-pilot) e o uso de injeções de prompt para burlar scanners indicam que os atacantes estão adaptando táticas ao novo cenário de desenvolvimento assistido por IA — o que exige atualizações urgentes nas políticas de segurança de dependências.

Desenvolvedores devem auditar imediatamente seus ambientes por arquivos .pth não autorizados nos diretórios site-packages e dist-packages, especialmente aqueles contendo padrões como hades-setup.pth, shai-hulud.pth ou nomes semelhantes. Qualquer instalação de pacotes do PyPI — mesmo em ambientes locais — deve ser considerada de risco se ocorreu entre 1º e 9 de junho de 2026. Recomenda-se rotação imediata de todos os segredos acessíveis durante esse período: tokens do GitHub (incluindo GITHUB_TOKEN em workflows), chaves SSH, credenciais de AWS/GCP/Azure, tokens de PyPI (~/.pypirc), e chaves de registro de Docker. Ferramentas como pip-audit, pipdeptree --warn outdated e varreduras com Socket Security ou Dependabot devem ser complementadas com monitoramento de hooks de inicialização via scripts personalizados. Projetos que usam Bun, Node.js ou ferramentas de IA como gpt-pilot exigem revisão extra de dependências e branches comprometidos — já que o Hades demonstrou capacidade de se propagar via forks e PRs maliciosos em repositórios públicos.