Shai-Hulud v2 invade Maven e expõe milhares de segredos

Shai-Hulud v2 avançou do ecossistema JavaScript para o Maven, comprometendo mais de 830 pacotes npm e agora o artefato org.mvnpm:posthog-node:4.18.1, levando ao vazamento massivo de tokens, chaves de API e credenciais de nuvem.

Do npm para o Maven: como o ataque evoluiu

A campanha, detalhada pela Socket Research Team, identificou no pacote Maven os mesmos componentes maliciosos “setup_bun.js” e “bun_environment.js” usados na versão JavaScript do ataque. O artefato, gerado automaticamente pelo processo mvnpm, não foi publicado pela PostHog original. Após o alerta, o Maven Central removeu todas as cópias espelhadas em 25 de novembro de 2025.

Anúncios

Amazon.com.br

4.0

R$ 864,30

Kit 2 Banquetas Alta para Balcão Bancada área Gourmet Cozinha Industrial (70cm do Assento ao chão, Preto)

Comprar na Amazon

-57%

Amazon.com.br

4.0

R$ 555,37 R$ 1.299,00

Graco Cadeira de Alimentação e Refeição Infantil Alta Dobrável e Reclinável Slim Snacker Cinza

Comprar na Amazon

Amazon.com.br

4.0

R$ 626,89

Cadeira Para Obeso Com Braços Corsa Longarina Reforçada

Comprar na Amazon

-14%

Amazon.com.br

4.0

R$ 299,15 R$ 349,00

Cadeira Giratória Mocho com Encosto Conthey, Ajuste de Altura e Rodízios - Estética, Manicure, Tatuagem, Odontologia e Residências - Branca

Comprar na Amazon

Amazon.com.br

4.0

R$ 1.199,00

Poltrona Cadeira Sala Leitura Descanso Balanço Amamentação Puff Linho

Comprar na Amazon

-17%

Amazon.com.br

4.0

R$ 474,99 R$ 575,00

Cadeira de Banho Obeso em Alumínio até 150kg D60 Dellamed

Comprar na Amazon

Preço da Amazon atualizado: janeiro 9, 2026 9:30 pm

Nesta segunda onda, os invasores exploram contas de mantenedores npm para publicar versões trojanizadas. Ao instalar essas bibliotecas, desenvolvedores têm suas máquinas transformadas em runners do GitHub Actions, permitindo execução de comandos e coleta automatizada de segredos. Mais de 28 000 repositórios já foram afetados, segundo Cycode.

Riscos para devs e estratégias de mitigação

O Shai-Hulud v2 eleva o limite de infecção de 20 para 100 pacotes, usa o runtime Bun para ocultar código e exfiltra dados para repositórios GitHub de nomes aleatórios, dificultando a detecção. Pesquisas da GitGuardian revelam 11 858 segredos únicos vazados, sendo 2 298 ainda válidos, incluindo credenciais de AWS, Google Cloud e Azure.

Análises da Aikido apontam que a ameaça explora configurações inseguras em pull_request_target e workflow_run no GitHub Actions, o que permite que qualquer pull request execute código durante a CI. A recomendação dos especialistas inclui:

Você também pode gostar

Por que a Stripes Nude é a Melhor Cadeira Diretor em Termos de Design e Ergonomia

Cadeira Diretor Kopenhagen Couro Branco Cromada: O Símbolo de Status no Escritório

Cadeira Diretor Gomos Branca Home Office Giratória: Estilo e Conforto

Imagem: Internet

• Rotacionar todos os tokens e chaves comprometidos;
• Auditar dependências e remover versões infectadas;
• Reinstalar pacotes limpos;
• Aplicar princípio de menor privilégio no CI/CD;
• Habilitar varredura automática de segredos e políticas de segurança.

Como resume Dan Lorenc, CEO da Chainguard, “um único mantenedor comprometido e um script de instalação malicioso bastam para atingir milhares de projetos em horas”. Para entender detalhes técnicos, confira o relatório completo no The Hacker News.

Fique atento: rever práticas de supply chain já é obrigatório para devs e equipes de infraestrutura. Quer mais conteúdos sobre segurança e desempenho no seu setup? Acesse nossa página inicial e continue acompanhando.

Crédito da imagem: The Hacker News Fonte: The Hacker News