Tecnologia e Negócios Digitais

Ataque Sha1-Hulud atinge 25 mil repositórios npm

Guilherme Emanuel
Guilherme Emanuel

Ataque Sha1-Hulud atinge 25 mil repositórios npm

Ataque Sha1-Hulud ganhou força em uma segunda onda que já comprometeu mais de 25 mil repositórios no npm, utilizando o script preinstall para roubo de credenciais de desenvolvedores.

Índice de Conteúdo

Como o golpe explora o ecossistema npm

De acordo com relatórios de Aikido, HelixGuard, JFrog, Koi Security, ReversingLabs, SafeDep, Socket, Step Security e Wiz, a campanha de supply chain injeta código malicioso em centenas de pacotes. No momento em que o usuário executa npm install, o script preinstall coleta variáveis de ambiente — como NPM_TOKEN e chaves de serviços de nuvem — e transmite essas informações para servidores controlados pelos invasores.

O método lembra a primeira ofensiva batizada de Shai-Hulud, detectada em 2022. Porém, a novidade desta segunda fase é a automação do ataque: o mesmo código foi clonado em massa, espalhando-se por milhares de bibliotecas com nomes parecidos a projetos populares, o que aumenta a chance de downloads acidentais.

Impacto para desenvolvedores e empreendedores digitais

Ao obter tokens de publicação, os criminosos podem publicar versões alteradas de seus próprios pacotes ou até tomar conta de repositórios legítimos, abrindo caminho para malware que afeta sites WordPress, lojas online e aplicações SaaS. Quem monetiza projetos com AdSense ou programas de afiliados corre o risco de ter dados sensíveis expostos ou anúncios substituídos por conteúdo indesejado.

Especialistas recomendam: 1) ativar two-factor authentication em contas npm; 2) revisar dependências, preferindo hashes de integridade no package-lock.json; 3) monitorar tokens de CI/CD e revogar chaves não utilizadas; 4) aplicar ferramentas de análise estática com foco em supply chain. Relatório recente da Wired destaca que ataques à cadeia de software já crescem mais de 600 % ao ano, reforçando a urgência dessas medidas.

Em resumo, a campanha Sha1-Hulud mostra que a superfície de ataque de bibliotecas open source continua ampla e dinâmica. Para acompanhar alertas e boas práticas sobre segurança de código aberto, visite nossa seção de Análise de Tecnologia e mantenha seus projetos protegidos.

Crédito da imagem: Thehackernews
Fonte: Thehackernews

Apple Glasses para 2026: como o novo wearable pode mudar o jogo antes mesmo de chegar às lojas
iOS 26 deixa os ícones do iPhone da cor exata do aparelho — entenda o truque por trás
Black Friday Apple: melhores ofertas e novidades iOS 26.2
Vulnerabilidade Triofox expõe servidores; saiba como se proteger
iOS 27: rumores indicam recursos para iPhone dobrável
Compartilhe esse artigo
PorGuilherme Emanuel
Acompanhe:
Guilherme Emanuel, 24 anos, é autor e cofundador da EscolaAlgortimoX, especialista em SEO e estratégias digitais. Desde 2018, ajuda empreendedores a conquistar resultados no mercado digital, seja com Google AdSense, vendas como afiliados ou comércio local. Com as ferramentas, o conhecimento e os caminhos certo, só não acontece se você não quiser.
Artigo anterior Missão Genesis impulsiona super IA para acelerar ciência
Próximo Artigo Farseer RocX: câmera com zoom 50x e IA estreia Kickstarter

Esteja Conectado

Aprove seu Blog No Google AdSense ou monte seu site de afiliados conosco
Do zero ao lucro. Nós montamos toda a sua estrutura digital para você ser aprovado no AdSense ou para criar um site de afiliados que vende.

Últimas notícias

Mounjaro emagrece mesmo Entenda como funciona e se vale a pena (4)
Mounjaro emagrece mesmo? Entenda como funciona e se vale a pena
Análise de Tecnologia: Notícias, Impacto e Tendências
Foxiz O Melhor Tema WordPress para Blogs de Notícias e Anúncios em 2026 (2)
Foxiz: O Melhor Tema WordPress para Blogs de Notícias e Anúncios em 2026
Uncategorized
Configuração de Anúncios no Google AdSense em 2026 Guia de Posicionamento e RPM (1)
Configuração de Anúncios no Google AdSense em 2026: Guia de Posicionamento e RPM
Uncategorized
Logitech MX Master 3S Por Que Este Mouse de 141g é o queridinho de 2026
Logitech MX Master 3S: Por Que Este Mouse de 141g é o queridinho de 2026
Hardware de PC: Testes, Análises e Tutoriais Completos

Você também pode gostar