A Check Point Software Technologies identificou uma campanha de ciberataque, designada Shai-Hulud 2.0, que resultou na exposição massiva de credenciais e segredos de desenvolvimento. A operação, ativa entre 21 e 23 de novembro de 2025, comprometeu centenas de pacotes no registo npm e atingiu mais de 25 mil repositórios no GitHub.
A investigação classifica este incidente como um dos ataques à cadeia de fornecimento de software mais agressivos dos últimos anos. Os atacantes conseguiram exfiltrar milhares de chaves de acesso e tokens críticos em poucas horas, o que obrigou a uma resposta de emergência por parte das equipas de segurança.
O mecanismo de exfiltração da campanha de ciberataque Shai-Hulud 2.0
O sucesso da campanha de ciberataque Shai-Hulud 2.0 reside na utilização de scripts de pré-instalação (preinstall) nos pacotes npm infetados. Esta técnica garante a execução do código malicioso no momento imediato da instalação da dependência, muitas vezes antes de qualquer verificação de segurança.
Para recolher os dados, o malware utiliza o runtime Bun, uma escolha que visa evadir as deteções tradicionais. O processo envolve a instalação do ambiente através do script setup_bun.js, seguida pela execução da lógica de roubo de dados com o bun_environment.js.
A escala da exposição de segredos
A análise forense da Check Point revela a dimensão do impacto. Os atacantes focaram-se especificamente na extração de:
- Tokens de autenticação npm e GitHub.
- Chaves SSH para acesso a servidores.
- Credenciais de serviços de nuvem (AWS, Google Cloud, Azure).
Os números apresentados pela Check Point confirmam a gravidade da fuga: mais de 14.000 segredos foram expostos. Destes, cerca de 2.500 permaneciam válidos e ativos após a propagação do ataque, o que representa um risco de acesso persistente para as 487 organizações afetadas. Os dados exfiltrados foram posteriormente enviados para repositórios públicos controlados pelos atacantes.
Resposta e mitigação
Rui Duro, Country Manager da Check Point em Portugal, sublinha que a prevenção e a segurança integrada no pipeline são as únicas estratégias eficazes perante ameaças que atuam em minutos.
Para mitigar o risco, a empresa recomenda a rotação imediata de todas as credenciais utilizadas em ambientes de desenvolvimento e CI/CD, bem como a implementação de autenticação multifator (MFA) nas contas de npm e GitHub. A auditoria de runner-hosts e a limpeza da cache npm são também medidas essenciais para conter a infeção.
Conclusão
O ataque Shai-Hulud 2.0 expõe a fragilidade da gestão de segredos na cadeia de fornecimento de software. A capacidade dos atacantes para comprometer milhares de repositórios e exfiltrar credenciais em massa, utilizando dependências de código aberto, exige uma revisão profunda das políticas de segurança e gestão de identidade nos ecossistemas de desenvolvimento.
Outros artigos interessantes:
