Hackers comprometeram 19 pacotes no PyPI, que somavam centenas de milhares de downloads, em uma nova campanha de supply chain do Shai-Hulud.
O ataque distribuiu malware projetado para roubar segredos de desenvolvedores.
Entre os pacotes infectados estão ferramentas populares de bioinformática, como Dynamo, Spateo, CoolBox, U-FISH e Napari-UFISH.
A nova campanha foi descoberta pela empresa de segurança de aplicações Socket e se expandiu para 37 versões maliciosas de 19 pacotes que, ao que tudo indica, pertencem ao mesmo mantenedor.
Segundo os pesquisadores, os artefatos maliciosos incluíam um arquivo `*-setup.pth` e um payload JavaScript ofuscado chamado `_index.js`.
Bastava iniciar o Python para acionar a execução do arquivo PTH, que então tentava baixar o runtime Bun para JavaScript a partir do GitHub e executar o script empacotado.
“Isso significa que um wheel comprometido pode transformar uma instalação passiva de dependência em um gatilho de execução retardada: a próxima execução do Python, do pip, de testes, de um kernel de notebook, de uma tarefa de CI ou de um comando de gerenciamento de pacotes que inicialize o Python pode processar o `.pth` malicioso”, explica a Socket.
Os pesquisadores acreditam que o ataque faz parte da campanha mais ampla Shai-Hulud, porque o malware apresenta várias semelhanças nas técnicas empregadas.
Por isso, a Socket passou a acompanhá-lo junto com ataques anteriores, e a lista de artefatos maliciosos atribuídos às atividades do Shai-Hulud já soma 453 itens.
A análise do payload JavaScript mostrou que ele mirava uma ampla variedade de segredos de desenvolvedores, incluindo:
- tokens do GitHub e segredos do GitHub Actions
- tokens de publicação do npm, PyPI, RubyGems e JFrog
- credenciais da AWS, GCP, Azure, Kubernetes e Vault
- chaves SSH
- credenciais do Docker
- arquivos `.env`, `.npmrc` e `.pypirc`
- históricos de shell
- arquivos de configuração do Claude/MCP
- outros segredos de estações de trabalho de desenvolvedores e de CI/CD
Assim como em outros ataques do Shai-Hulud, o objetivo parece ser comprometer fluxos de desenvolvimento de software para ampliar a propagação do malware.
O principal método de exfiltração de dados é semelhante ao de operações anteriores do Shai-Hulud, com o uso de repositórios do GitHub criados automaticamente para hospedar segredos gravados por meio do GitHub Actions.
Há também um segundo método de exfiltração baseado em HTTPS direto, apontando para um endpoint legítimo, mas inválido, da Anthropic API, `api[.]anthropic[.]com/v1/api`.
A Socket avalia que isso provavelmente servia como disfarce.
O malware também inclui mecanismos de evasão, como a verificação de localidades e ambientes russos, além da detecção de ferramentas de segurança como o StepSecurity Harden-Runner.
A persistência é estabelecida por meio de serviços systemd no Linux e LaunchAgents no macOS, enquanto arquivos de workflow do GitHub e de configuração do Claude/MCP também são usados.
O relatório da Socket lista todos os pacotes e versões afetados e recomenda que as organizações que os instalaram rotacionem todos os segredos e restaurem seus ambientes a partir de backups seguros.
Defensores devem procurar pacotes Python que contenham ganchos de inicialização executáveis em `.pth`, downloads inesperados do runtime Bun a partir do GitHub e cadeias de processos em que o Python inicia o Bun para executar `_index.js`.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...