sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Veículos apreendidos terão ‘tornozeleira eletrônica’ e leilão será apenas virtual
4 de julho de 2026
Motociclista bate na traseira de caminhão, é atropelado e morre na Santos Dumont
4 de julho de 2026
Argentina passa sufoco, mas encerra "conto de fadas" de Cabo Verde
4 de julho de 2026
Paciente que furtou ambulância diz que queria ir a São Paulo
4 de julho de 2026
sábado, julho 4, 2026
Top Posts
Veículos apreendidos terão ‘tornozeleira eletrônica’ e leilão será...
Motociclista bate na traseira de caminhão, é atropelado...
Argentina passa sufoco, mas encerra "conto de fadas"...
Paciente que furtou ambulância diz que queria ir...
Divinity: Original Sin 2 e mais jogos para...
Adeus, TV Time: conheça 8 melhores aplicativos para...
Oferta Amazon Prime Day Echo tem dispositivos com...
Frente fria se aproxima de Campinas, mas sábado...
Feira de adoção leva cães resgatados ao Centro...
Grávida de seis meses relata ter sofrido socos...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Veículos apreendidos terão ‘tornozeleira eletrônica’ e leilão será apenas virtual
4 de julho de 2026
Motociclista bate na traseira de caminhão, é atropelado e morre na Santos Dumont
4 de julho de 2026
Argentina passa sufoco, mas encerra "conto de fadas" de Cabo Verde
4 de julho de 2026
Paciente que furtou ambulância diz que queria ir a São Paulo
4 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Veículos apreendidos terão ‘tornozeleira eletrônica’ e leilão será apenas virtual
4 de julho de 2026
Motociclista bate na traseira de caminhão, é atropelado e morre na Santos Dumont
4 de julho de 2026
Argentina passa sufoco, mas encerra "conto de fadas" de Cabo Verde
4 de julho de 2026
Paciente que furtou ambulância diz que queria ir a São Paulo
4 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Código do vírus Shai-Hulud é divulgado e já inspira outros ataques

por SampaNews 19 de maio de 2026
19 de maio de 2026
28

O grupo TeamPCP divulgou publicamente o código-fonte completo do worm Shai-Hulud em 12 de maio de 2026, abrindo caminho para que qualquer criminoso possa replicar ou adaptar o malware para novos ataques à cadeia de suprimentos de software.

Os repositórios foram publicados no GitHub sob diferentes contas de usuário e acompanhados de instruções detalhadas de uso. O GitHub removeu os repositórios, mas não antes de múltiplos forks serem criados. Pesquisadores da Ox Security já identificaram atores externos modificando o código para campanhas próprias.

smart_display

Nossos vídeos em destaque

O que é o Shai-Hulud e por que você já deve ter ouvido falar

O Shai-Hulud é um worm, um tipo de malware que se propaga automaticamente, desenvolvido pelo grupo TeamPCP e voltado para o ecossistema de desenvolvimento de software. O nome é uma referência ao verme gigante da saga “Dune”.

Repositório Shai-Hulud-Open-Source publicado pelo TeamPCP no GitHub com 26 forks e a mensagem “A Gift From TeamPCP” em todos os commits. Imagem: DataDog.

Desde setembro de 2025, o malware tem atacado pacotes do npm, o maior repositório de bibliotecas JavaScript do mundo. O TecMundo já reportou que o Brasil figurava entre os três países mais afetados.

O funcionamento segue uma lógica de cadeia. O worm se instala em pacotes legítimos de desenvolvedores, rouba credenciais de nuvem, GitHub e npm, e republica versões infectadas desses pacotes. Quem baixa os pacotes contaminados repete o ciclo involuntariamente.

TeamPCP transforma o worm em ferramenta coletiva

Ao abrir o código-fonte, o grupo não apenas expôs seu arsenal. Ele publicou o que pesquisadores da Datadog descrevem como um framework modular de ofensiva completo, com componentes para coleta de credenciais, envenenamento de pacotes npm e repositórios GitHub, criptografia dos dados roubados e exfiltração para servidores controlados pelos atacantes.

shai hulud code (1).png
Framework modular do Shai-Hulud divide a operação em cinco estágios, dos loaders que instalam o ambiente de execução até os mutators responsáveis por contaminar pacotes npm e repositórios GitHub. Imagem: DataDog.

Junto ao lançamento, o TeamPCP e o fórum BreachForums anunciaram um “supply chain challenge”, uma espécie de concurso em que criminosos são convidados a usar o Shai-Hulud em ataques reais, apresentar provas de comprometimento e causar o máximo de impacto possível para ganhar recompensas financeiras.

“O TeamPCP está virando o volume ao máximo em suas atividades ao disponibilizar isso para qualquer um que queira usar”, disse Ben Ronallo, engenheiro-chefe de segurança da Black Duck.

O que o código revelou que não se sabia antes

A análise do código-fonte feita pela Datadog confirmou características já observadas em ataques anteriores e revelou capacidades inéditas.

shai hulud code (2).png
Forks do repositório original já apareciam em contas de terceiros horas após a publicação do código-fonte, evidenciando a velocidade com que copycats adotaram o material. Imagem: Ox Security.

Entre as conhecidas estão a leitura da memória do processo Runner.Worker do GitHub Actions para extrair segredos antes que o sistema de mascaramento entre em ação, a exfiltração criptografada com RSA-4096 e AES-256-GCM, e o uso de repositórios GitHub como canal de entrega dos dados roubados.

Entre as inéditas, o código expôs um mecanismo de persistência que usa hooks do Claude Code, ferramenta de programação com IA da Anthropic. Ao comprometer um repositório, o worm insere um arquivo de configuração que executa o malware automaticamente sempre que o Claude Code é iniciado no projeto. O mesmo ocorre com o VS Code, o editor de código da Microsoft, que executa o payload ao abrir a pasta do projeto.

O código também revelou um mecanismo de falsificação de proveniência Sigstore. Isso significa que pacotes npm envenenados podem aparecer com certificados legítimos de verificação de build, passando por processos de auditoria automatizados como se fossem confiáveis.

shai hulud code (3).png
README do repositório inclui instruções diretas de compilação e a mensagem “Change keys and C2 as needed. Love – TeamPCP”, tratando o malware como um produto pronto para uso. Imagem: Ox Security.

Outro elemento novo é o “dead-man switch”. Se um token GitHub roubado for revogado pela vítima durante a resposta ao incidente, um daemon instalado pelo malware executa o comando rm -rf ~/, apagando todo o diretório pessoal do usuário. O commit de exfiltração deixa esse aviso explícito no próprio histórico do repositório.

Cada build gera um binário diferente, dificultando detecção

Um detalhe técnico relevante para quem trabalha com defesa é que o pipeline de compilação do Shai-Hulud gera uma senha aleatória única a cada build. Essa senha alimenta a codificação de strings internas, o que faz com que dois binários compilados a partir do mesmo código-fonte sejam completamente diferentes entre si.

Isso inviabiliza regras de detecção baseadas em assinaturas, como as usadas pelo YARA, um formato amplamente adotado em segurança para identificar malware. Uma amostra capturada não serve para detectar a próxima versão implantada.

shai hulud code (4).png
Todos os commits do repositório carregam data forjada de 1º de janeiro de 2099, uma técnica deliberada para dificultar a análise forense do histórico de desenvolvimento. Imagem: Ox Security.

Como verificar se você foi afetado

Antes de revogar qualquer token do GitHub, é necessário desativar o daemon instalado pelo 
malware para evitar a destruição dos arquivos. No macOS, o comando é [launchctl unload ~/Library/LaunchAgents/com.user.gh-token-monitor.plist]. No Linux, [systemctl –user stop gh-token-monitor.service].

Após desativar o daemon, verifique se há hooks maliciosos no arquivo ~/.claude/settings.json ou em arquivos .claude/settings.json de repositórios individuais. Qualquer hook do tipo SessionStart apontando para node .vscode/setup.mjs ou node .claude/setup.mjs deve ser tratado como comprometimento.

Em repositórios Git, procure commits com o e-mail claude@users.noreply.github.com e a mensagem “chore: update dependencies” em todas as branches.

shai hulud code (8).png
O mesmo README com instruções de build foi encontrado em múltiplos repositórios, confirmando que o TeamPCP distribuiu o código por diferentes contas para dificultar a remoção pelo GitHub. Imagem: Ox Security.

Pacotes npm comprometidos podem ser identificados por bumps de versão inesperados e pela presença de um script preinstall no package.json. Versões afetadas devem ser retiradas do registro imediatamente.

“Organizações devem começar a se preparar para um aumento significativo e sustentado em atividades de comprometimento de cadeia de suprimentos”, disse Ronallo.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Que horas LEGO Batman será lançado? Veja requisitos, preço e tudo sobre o jogo
próxima postagem
Google anuncia Wear OS 7 com novo Gemini Intelligente; confira as melhorias

Você também pode gostar

Divinity: Original Sin 2 e mais jogos para...

4 de julho de 2026

Adeus, TV Time: conheça 8 melhores aplicativos para...

4 de julho de 2026

Oferta Amazon Prime Day Echo tem dispositivos com...

4 de julho de 2026

Que fim levaram os padrões NTSC e PAL-M...

4 de julho de 2026

POSTS MAIS RECENTES

  • Veículos apreendidos terão ‘tornozeleira eletrônica’ e leilão será apenas virtual
  • Motociclista bate na traseira de caminhão, é atropelado e morre na Santos Dumont
  • Argentina passa sufoco, mas encerra "conto de fadas" de Cabo Verde
  • Paciente que furtou ambulância diz que queria ir a São Paulo
  • Divinity: Original Sin 2 e mais jogos para PC com até 95% OFF na Steam

Siga-nos

  • Recente
  • Popular
  • Veículos apreendidos terão ‘tornozeleira eletrônica’ e leilão será apenas virtual

    4 de julho de 2026
  • Motociclista bate na traseira de caminhão, é atropelado e morre na Santos Dumont

    4 de julho de 2026
  • Argentina passa sufoco, mas encerra "conto de fadas" de Cabo Verde

    4 de julho de 2026
  • Paciente que furtou ambulância diz que queria ir a São Paulo

    4 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Adeus, TV Time: conheça 8 melhores aplicativos para...

4 de julho de 2026

Oferta Amazon Prime Day Echo tem dispositivos com...

4 de julho de 2026

Frente fria se aproxima de Campinas, mas sábado...

4 de julho de 2026

Feira de adoção leva cães resgatados ao Centro...

4 de julho de 2026

Grávida de seis meses relata ter sofrido socos...

4 de julho de 2026

Leitura obrigatória

  • Veículos apreendidos terão ‘tornozeleira eletrônica’ e leilão será apenas virtual

    4 de julho de 2026
  • Motociclista bate na traseira de caminhão, é atropelado e morre na Santos Dumont

    4 de julho de 2026
  • Argentina passa sufoco, mas encerra "conto de fadas" de Cabo Verde

    4 de julho de 2026
  • Paciente que furtou ambulância diz que queria ir a São Paulo

    4 de julho de 2026
  • Divinity: Original Sin 2 e mais jogos para PC com até 95% OFF na Steam

    4 de julho de 2026

Newsletter

Posts relacionados

  • Divinity: Original Sin 2 e mais jogos para PC com até 95% OFF na Steam

    4 de julho de 2026
  • Adeus, TV Time: conheça 8 melhores aplicativos para marcar séries e filmes

    4 de julho de 2026
  • Oferta Amazon Prime Day Echo tem dispositivos com 30% off e acesso antecipado à Alexa+

    4 de julho de 2026
  • Que fim levaram os padrões NTSC e PAL-M de sinal em televisores?

    4 de julho de 2026
  • Diablo 4 e mais! 5 jogos grátis para curtir o fim de semana no PC, consoles e mobile (4)

    4 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
Minions & Monstros, Elle e mais! Os lançamentos de filmes e séries da semana (28/06)
28 de junho de 2026
Home office: 105 vagas para trabalho remoto [30/06]
30 de junho de 2026

Postagens Aleatórias

Parintins conhece campeão do festival nesta segunda-feira
29 de junho de 2026
Motorista perde controle, capota picape e deixa dois feridos na Bandeirantes
28 de março de 2026
Chevrolet Captiva PHEV: híbrido de 204 cv aparece no Brasil e chega em 2026
21 de janeiro de 2026

Categorias Populares

  • Tecnologia (5.884)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.037)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.095)
  • Bragança Paulista (1.067)
  • Esporte (767)
  • Saúde (487)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home