Um Comando Roubou Seus Segredos na Nuvem

Em 29 de abril de 2026, um roubo digital meticulosamente orquestrado teve como alvo a vasta comunidade de desenvolvedores da SAP. Os atacantes envenenaram com sucesso quatro pacotes oficiais SAP CAP (Cloud Application Programming), comprometendo-os por uma janela crítica de duas a quatro horas. Este curto período, especificamente entre 09:55 UTC e 12:14 UTC, provou ser suficiente para que o código malicioso se propagasse rapidamente pela cadeia de suprimentos global de software, atingindo desenvolvedores em suas estações de trabalho.

As consequências potenciais foram impressionantes. Esses pacotes comprometidos, essenciais para o desenvolvimento de aplicações empresariais, acumularam aproximadamente 570.000 downloads semanais. Isso significava que inúmeros desenvolvedores, ao executar comandos rotineiros de `npm install`, convidavam inadvertidamente malware sofisticado para seus sistemas. O volume puro ressaltou o amplo alcance do ataque e a disseminação silenciosa e insidiosa de sua carga útil, dificultando a detecção para muitos.

Uma profunda onda de choque se espalhou pelo mundo da tecnologia. Desenvolvedores operam com um contrato implícito de confiança com seus ecossistemas de pacotes, particularmente para componentes oficiais, de nível empresarial, de um grande fornecedor. Este incidente quebrou fundamentalmente essa confiança, revelando como mesmo dependências centrais e aparentemente seguras poderiam se tornar condutos para espionagem cibernética avançada. A própria fundação do desenvolvimento de software seguro, construída sobre gerenciadores de pacotes confiáveis, de repente se sentiu vulnerável a uma única dependência comprometida.

O ataque visou especificamente quatro pacotes cruciais: - `@cap-js/sqlite@2.2.2` - `@cap-js/postgres@2.2.2` - `@cap-js/db-service@2.10.1` - `mbt@1.2.48`

Esses elementos fundamentais do modelo SAP Cloud Application Programming se transformaram em cavalos de Troia digitais. Seus scripts maliciosos de `pre-install` foram projetados para roubar um tesouro de dados sensíveis, incluindo credenciais de desenvolvedor SAP e segredos críticos da nuvem de plataformas como AWS, Azure e GCP. A precisão e a velocidade desta operação, alavancando um único comando `npm install`, destacaram uma nova e alarmante fronteira nos ataques à cadeia de suprimentos de software, onde a confiança implícita se tornou a vulnerabilidade máxima.

O ataque da SAP começou com um mecanismo enganosamente simples, mas potente: um script malicioso de `pre-install` incorporado nos arquivos `package.json` de quatro pacotes oficiais SAP CAP. Desenvolvedores que instalavam `@cap-js/sqlite@2.2.2`, `@cap-js/postgres@2.2.2`, `@cap-js/db-service@2.10.1` ou `mbt@1.2.48` desencadearam inadvertidamente a fase inicial do comprometimento. Este hook de ciclo de vida padrão do npm foi executado automaticamente antes da conclusão da instalação do pacote, tornando-o um vetor ideal para acesso inicial furtivo.

Este script de `pre-install`, no entanto, não era a carga útil final. Em vez disso, ele serviu como um downloader eficiente. Sua função principal envolvia buscar e executar o runtime JavaScript Bun, uma alternativa rápida ao Node.js, diretamente no sistema da vítima. Essa abordagem de duas etapas adicionou uma camada de indireção, tornando a detecção inicial mais difícil e permitindo uma carga útil externa mais dinâmica.

Uma vez instalado, Bun assumiu o controle, executando um payload significativamente maior e fortemente ofuscado. Este malware sofisticado iniciou imediatamente sua missão de reconhecimento e exfiltração, visando um amplo espectro de informações sensíveis. Ele sistematicamente procurou por: - npm tokens - credenciais do GitHub - segredos da AWS, Azure e GCP - Kubernetes tokens - segredos do GitHub Actions - senhas do navegador - configurações de AI coding agent para persistência

A genialidade deste ataque residia na sua simplicidade elegante. Não exigiu exploits complexos de dia zero ou vulnerabilidades obscuras. Os atacantes simplesmente abusaram de recursos padrão e documentados do npm, especificamente o script `pre-install`, para executar código arbitrário. Esta funcionalidade comum de gerenciamento de pacotes transformou-se numa arma poderosa, contornando muitas medidas de segurança tradicionais que se concentram em exploits conhecidos em vez do uso indevido legítimo de recursos.

Uma abordagem de tão baixa fricção sublinha a ameaça generalizada de ataques à cadeia de suprimentos. Um único comando `npm install`, uma operação de desenvolvimento rotineira, tornou-se o canal para uma sofisticada operação de roubo de dados. O grupo "TeamPCP" demonstrou como as dependências de desenvolvimento essenciais podem facilmente transformar-se em cavalos de Troia, destacando a necessidade crítica de um escrutínio rigoroso das dependências em ambientes empresariais.

Mini Shai-Hulud, um sofisticado verme digital, ganhou o seu nome sinistro da série *Dune* de Frank Herbert. Tal como os colossais vermes da areia de Arrakis, este malware escavou profundamente em sistemas comprometidos, recolhendo implacavelmente a valiosa "especiaria" — neste caso, uma extensa gama de credenciais digitais. O seu objetivo principal era exfiltrar estes segredos, sinalizando um comprometimento bem-sucedido ao criar repositórios públicos no GitHub com a descrição "A Mini Shai-Hulud has Appeared." Esta assinatura única ajudou os investigadores a rastrear a extensão do ataque.

Uma vez executado pelo script malicioso `pre-install` incorporado nos pacotes npm envenenados, o payload massivo e ofuscado entrou em ação. Utilizando o JavaScript runtime `Bun`, ele vasculhou sistematicamente a máquina hospedeira em busca de segredos de alto valor. Este coletor de credenciais visou agressivamente o acesso de desenvolvedores e à infraestrutura de nuvem, garantindo o máximo impacto em toda a cadeia de suprimentos de software ao comprometer as próprias ferramentas que os desenvolvedores usam diariamente.

O verme digital procurou uma lista abrangente de dados sensíveis, demonstrando uma clara compreensão dos ambientes modernos de desenvolvimento e nuvem. Os seus alvos incluíam: - npm tokens, críticos para gerenciamento e publicação de pacotes - credenciais do GitHub, abrangendo personal access tokens e segredos do GitHub Actions, vitais para repositórios de código e CI/CD pipelines - segredos da AWS, Azure e GCP, fornecendo acesso direto a recursos de nuvem - Kubernetes tokens, permitindo controle sobre plataformas de orquestração de contêineres - senhas locais do navegador, muitas vezes um tesouro de informações de login adicionais - arquivos de configuração para AI coding agents, visando potencial persistência e exploração adicional.

Uma tática de evasão particularmente sofisticada incorporada no Mini Shai-Hulud era o seu mecanismo de geofencing. Antes de tentar qualquer exfiltração de dados, o malware realizava uma verificação crucial do sistema: ele escaneava as configurações de idioma da máquina hospedeira. Se detectasse o russo como idioma principal do sistema, o payload terminava imediatamente a execução, impedindo qualquer comprometimento ou transferência de dados de sistemas de língua russa. Esta medida calculada de autopreservação impede a atribuição e evita operar em regiões geopolíticas específicas, um padrão comum em campanhas atribuídas a certos atores de ameaças avançadas. Para mais detalhes sobre o incidente mais amplo e a resposta da SAP, consulte o relatório SAP Security Patch Day - April 2026.

O mecanismo de exfiltração para Mini Shai-Hulud desafiou as operações furtivas típicas, optando por uma abordagem descarada e barulhenta. Os atacantes criaram vários repositórios públicos no GitHub, cada um com a descrição distintiva 'A Mini Shai-Hulud has Appeared'. Essa tática incomum serviu tanto como uma trilha digital quanto como um despejo de dados rudimentar, mas eficaz, garantindo a saída rápida de informações roubadas de sistemas comprometidos e facilitando o rastreamento posterior. Mais de 1.800 desenvolvedores nos ecossistemas PyPi, npm e PHP acabaram sendo vítimas desse método audacioso de extração de dados.

Apesar da natureza pública do destino dos dados, os segredos coletados permaneceram seguros de olhos indesejados. Os atacantes protegeram meticulosamente as credenciais roubadas com criptografia AES-256-GCM, tornando o vasto tesouro de dados inútil para qualquer pessoa que não possuísse a chave de descriptografia específica. Essa criptografia robusta salvaguardou informações críticas, incluindo tokens npm, credenciais GitHub, segredos AWS, Azure e GCP, tokens Kubernetes e até senhas de navegador, garantindo que apenas a TeamPCP pudesse acessar o payload valioso.

A análise forense rapidamente ligou a campanha Mini Shai-Hulud ao notório grupo de hackers TeamPCP. Os investigadores estabeleceram a atribuição através da descoberta de infraestrutura compartilhada, especificamente chaves públicas RSA idênticas empregadas em múltiplos vetores de ataque. Essa impressão digital consistente conectou o incidente da SAP a comprometimentos anteriores de alto perfil, incluindo o ataque Bitwarden CLI, solidificando o padrão da TeamPCP de visar ambientes de desenvolvedores para coleta de credenciais e exploração da cadeia de suprimentos.

O malware também incorporou uma técnica de evasão geográfica, realizando uma verificação do sistema para o idioma russo. Se detectado, o payload terminaria seu processo de exfiltração, impedindo efetivamente o roubo de dados de sistemas de língua russa. Essa medida de segurança operacional, comum entre certos atores de ameaças, destaca as considerações geopolíticas específicas que sustentam as campanhas da TeamPCP, mesmo enquanto elas visavam amplamente pipelines de desenvolvimento empresarial global e configurações de agentes de codificação de IA para persistência.

O incidente da SAP, embora um alerta severo, representou apenas uma faceta de alto perfil de uma campanha muito mais ambiciosa e coordenada. Atribuída ao prolífico grupo de hackers TeamPCP, a operação "Mini Shai-Hulud" lançou uma ampla rede, visando sistematicamente desenvolvedores em múltiplos ecossistemas. Este não foi um exploit isolado, mas um esforço sofisticado e multiplataforma de coleta de credenciais projetado para o máximo impacto.

Além dos pacotes SAP Cloud Application Programming (CAP) comprometidos, a TeamPCP simultaneamente lançou seu worm digital em outras cadeias de suprimentos de software críticas. Alvos notáveis incluíram o popular Lightning Python package no PyPI e o pacote `intercom-client` npm, demonstrando a versatilidade e o amplo alcance do grupo. Sua metodologia consistente em todas essas plataformas envolveu a injeção de scripts `pre-install` maliciosos, que então baixavam e executavam um payload massivo e ofuscado.

Esta campanha expansiva impactou, em última análise, mais de 1.800 desenvolvedores nos ecossistemas PyPI, npm e PHP, excedendo em muito o escopo imediato da violação da SAP. Os atacantes projetaram meticulosamente o Mini Shai-Hulud para roubar uma gama abrangente de informações sensíveis. Isso incluía ativos críticos de desenvolvedores, como npm tokens, GitHub credentials, AWS, Azure, e GCP secrets, Kubernetes tokens, GitHub Actions secrets, e até senhas de navegador. O malware também visou configurações de agentes de codificação de IA para potencial persistência.

As táticas de exfiltração permaneceram consistentes em todas as plataformas alvo, aproveitando a criação de repositórios públicos do GitHub. Esses repositórios, identificáveis pela descrição distinta "A Mini Shai-Hulud has Appeared", serviram como um rastro digital para os dados criptografados e roubados. Embora os pacotes SAP tenham sido envenenados por um breve período de duas a quatro horas, a campanha mais ampla da TeamPCP demonstrou um ataque sustentado e multi-vetorial à infraestrutura de desenvolvedores, destacando a crescente sofisticação das vulnerabilidades da cadeia de suprimentos além de um único fornecedor.

Scripts de ciclo de vida de gerenciadores de pacotes, como `pre-install` e `post-install`, representam um profundo desafio de segurança no desenvolvimento de software contemporâneo. Esses scripts são executados automaticamente durante a instalação de dependências, muitas vezes antes que os desenvolvedores possam inspecionar o código subjacente do pacote ou verificar sua integridade. O ataque à SAP exemplifica essa vulnerabilidade: um script `pre-install` astutamente elaborado, incorporado em pacotes `@cap-js` envenenados, serviu como o gatilho inicial, liberando o payload completo do "Mini Shai-Hulud". Esse mecanismo contornou as verificações de segurança tradicionais, permitindo que o malware obtivesse execução imediata.

Os desenvolvedores operam dentro de um modelo de confiança explorado ao integrar pacotes externos por meio de ferramentas como o npm. Eles implicitamente assumem que as dependências baixadas, mesmo aquelas de fontes menos escrutinadas ou contribuições da comunidade, não abrigarão intenções maliciosas. Essa confiança inerente se estende diretamente à execução automatizada de scripts de ciclo de vida, criando um ponto cego crítico para a segurança. Os atacantes exploram isso envenenando estrategicamente dependências amplamente utilizadas ou essenciais, sabendo que seu código malicioso se propagará automaticamente por inúmeras operações de `npm install` sem exigir interação do usuário além do comando inicial.

Um facilitador central de tais ataques é a questão das permissões: esses scripts de ciclo de vida são executados com os mesmos privilégios do usuário que inicia o comando `npm install`. Isso lhes concede acesso extenso, muitas vezes irrestrito, a arquivos sensíveis na máquina local, variáveis de ambiente e recursos de rede. O malware "Mini Shai-Hulud" explorou impiedosamente esse poder, coletando sistematicamente uma vasta gama de credenciais críticas dos sistemas afetados. Isso incluía: - npm tokens - GitHub credentials - AWS, Azure, e GCP secrets - Kubernetes tokens - GitHub Actions secrets - Senhas de navegador

Este nível profundo de acesso transforma uma única dependência comprometida em um gateway capaz de violar toda a infraestrutura de nuvem e o ecossistema de desenvolvedores de uma organização. O ataque sofisticado à SAP, identificado como parte de uma campanha mais ampla do grupo de hackers TeamPCP, ressalta o imperativo urgente de reavaliar fundamentalmente os protocolos de segurança de pacotes. Para um mergulho mais profundo no escopo mais amplo e na atribuição desta campanha, explore o TeamPCP-Linked Supply Chain Attack Hits SAP CAP and Cloud MTA npm Packages. Ignorar os riscos inerentes associados à execução automatizada de scripts não é mais uma estratégia viável para qualquer equipe de desenvolvimento.

Suspeita de um comprometimento? Aja imediatamente. Mini Shai-Hulud opera com discrição, mas deixa rastros digitais que exigem uma resposta rápida e decisiva. A integridade do seu ambiente de desenvolvimento — e a segurança da nuvem da sua organização — depende disso.

Primeiro, execute npm audit dentro do diretório do seu projeto. Este comando identifica vulnerabilidades conhecidas em suas dependências. Em seguida, execute `npm ls` contra pacotes específicos, se os utilizou, verificando por versões comprometidas como `@cap-js/sqlite@2.2.2`, `@cap-js/postgres@2.2.2`, `@cap-js/db-service@2.10.1`, ou `mbt@1.2.48`.

A detecção de qualquer uma dessas versões maliciosas, ou de qualquer pacote suspeito, exige uma resposta imediata e agressiva. Trate-o como uma violação confirmada, não apenas uma ameaça potencial, dadas as capacidades do malware.

Sua principal prioridade se torna rotacionar TODOS os segredos. Mini Shai-Hulud coletou ativamente uma ampla gama de credenciais, tornando uma rotação abrangente essencial para neutralizar quaisquer access tokens ou chaves roubados.

Isso inclui acesso crítico de desenvolvedor e plataforma em nuvem: - npm tokens - Credenciais GitHub (personal access tokens, SSH keys) - Segredos AWS, Azure e GCP - Kubernetes tokens - Segredos GitHub Actions - Senhas de navegador - Configurações de AI coding agent

Após neutralizar o acesso, realize uma limpeza completa. Exclua seu diretório `node_modules` e o arquivo `package-lock.json` ou `yarn.lock`. Reinstale todas as dependências de uma fonte confiável para garantir um ambiente limpo e não comprometido.

Crucialmente, habilite a autenticação multifator (2FA) em todos os serviços que a suportam. Além disso, implemente políticas de expiração rigorosas e curtas para todos os API tokens e chaves de acesso, limitando drasticamente as futuras janelas de exposição.

A vigilância continua sendo sua defesa mais forte contra ataques de cadeia de suprimentos em evolução. Esta lista de verificação fornece passos imediatos, mas práticas de segurança contínuas são primordiais.

A campanha Mini Shai-Hulud serviu como um lembrete contundente: medidas de segurança reativas não são mais suficientes. As organizações devem fazer a transição da resposta a incidentes para uma estratégia de defesa proativa e em camadas, incorporando a segurança profundamente em seus fluxos de trabalho de desenvolvimento e implantação. Este compromisso de longo prazo com a higiene fortalece toda a cadeia de suprimentos de software.

Uma primeira linha de defesa crítica envolve modificar como os build pipelines consomem dependências. Adote `npm ci --ignore-scripts` como um comando padrão dentro de seus CI/CD pipelines. Esta flag robusta impede a execução de scripts de ciclo de vida arbitrários, incluindo hooks maliciosos `pre-install` ou `post-install`, neutralizando efetivamente o vetor primário do ataque Mini Shai-Hulud. `npm ci` também garante builds limpos e repetíveis.

Além de desabilitar a execução de scripts, o gerenciamento rigoroso de dependências é fundamental. Fixe as versões exatas das dependências usando um arquivo `package-lock.json` ou `yarn.lock` e faça o commit para o controle de versão. Esta prática, conhecida como bloqueio de dependências, garante que suas compilações usem consistentemente versões verificadas de pacotes, evitando que atualizações silenciosas e maliciosas entrem em sua base de código.

O monitoramento contínuo de atividades suspeitas em seu ecossistema de pacotes é igualmente vital. Implemente ferramentas automatizadas para verificar mudanças inesperadas em mantenedores de pacotes, aumentos repentinos de versão ou requisições de rede incomuns durante as compilações. Dado que a janela de comprometimento da SAP foi de apenas 2 a 4 horas, capacidades de detecção rápida são inegociáveis para mitigar ataques rápidos semelhantes.

Finalmente, aprimore a segurança do próprio processo de publicação de pacotes. Adote o OIDC Trusted Publisher para publicar pacotes com segurança em registros como o npm. Esta abordagem moderna elimina a necessidade de tokens de autenticação estáticos de longa duração, substituindo-os por credenciais efêmeras de curta duração vinculadas ao seu ambiente de CI/CD. Isso mitiga diretamente o risco de roubo de credenciais, um objetivo central do malware Mini Shai-Hulud.

Essas práticas constroem coletivamente uma barreira resiliente contra ameaças sofisticadas à cadeia de suprimentos. À medida que ataques como o Mini Shai-Hulud, que impactou mais de 1.800 desenvolvedores em múltiplos ecossistemas, continuam a escalar em frequência e astúcia, incorporar uma higiene de segurança robusta em cada etapa do ciclo de vida do desenvolvimento não é mais opcional; é fundamental.

A campanha Mini Shai-Hulud visando a SAP representa apenas uma faceta de um cenário de ameaças em rápida evolução. Ataques à cadeia de suprimentos escalaram dramaticamente, indo além de simples comprometimentos de pacotes para operações sofisticadas patrocinadas por estados. Esses incidentes destacam como a confiança no ecossistema de software pode ser transformada em arma, transformando ferramentas de desenvolvimento fundamentais em vetores para espionagem, roubo de propriedade intelectual ou interrupção de infraestrutura crítica.

Atores estatais norte-coreanos, amplamente reconhecidos como o Lazarus Group, demonstraram recentemente esse perigo crescente ao comprometer o Axios. Os atacantes obtiveram acesso não autorizado à conta de um mantenedor de software, então injetaram código malicioso em um pacote npm legítimo. Isso permitiu a implantação furtiva de um sofisticado Remote Access Trojan (RAT), possibilitando vigilância persistente, exfiltração de dados e controle sobre sistemas infectados por longos períodos.

Tais violações sublinham uma vulnerabilidade generalizada: uma única credencial ou conta de desenvolvedor comprometida pode desencadear um evento em cascata na cadeia de suprimentos. Desde o comprometimento da SolarWinds, que impactou agências governamentais dos U.S., até o recente backdoor XZ Utils que quase se infiltrou em sistemas Linux críticos, os adversários consistentemente visam os elos mais fracos. As organizações devem reconhecer a natureza sistêmica e interconectada dessas ameaças, que se estendem além de seus perímetros imediatos.

Crucialmente, a campanha Mini Shai-Hulud introduziu um novo vetor alarmante: o direcionamento direto de AI coding agent configurations. Os atacantes procuraram especificamente configurações para ferramentas populares de modelos de linguagem grandes como o Claude Code, com o objetivo de incorporar instruções maliciosas persistentes ou alterar sutilmente seus parâmetros operacionais. Esta abordagem inovadora não só garante discrição a longo prazo, mas também expande dramaticamente o potencial de propagação automatizada em ambientes de desenvolvimento.

Ao envenenar o ambiente de um agente de IA, os atacantes obtêm um controlo sem precedentes. Eles poderiam manipular sugestões de código auto-geradas, introduzir subtilmente backdoors em novos projetos, ou até mesmo automatizar a recolha de credenciais sensíveis diretamente nos fluxos de trabalho dos desenvolvedores. Imagine um assistente de IA, confiado pelos desenvolvedores, injetando dependências maliciosas ou alterando configurações de segurança sem o seu conhecimento, tudo sem intervenção humana direta ou suspeita.

Esta convergência de espionagem patrocinada pelo estado, malware altamente sofisticado e a ameaça emergente de manipulação de agentes de IA exige estratégias de defesa imediatas e proativas. A indústria enfrenta o imperativo de proteger cada camada da cadeia de suprimentos de software, desde os commits iniciais de código até a implantação final. Compreender estas táticas em evolução e multifacetadas é fundamental para salvaguardar a infraestrutura digital contra ataques futuros, mais complexos. Para um aprofundamento nos detalhes do incidente da SAP, leia Emerging Supply Chain Attack ("Mini Shai-Hulud") Targeting SAP Cloud Application Programming Ecosystem.

O ataque de Mini Shai-Hulud à SAP, comprometendo credenciais de desenvolvedores e segredos de nuvem para mais de 1.800 desenvolvedores nos ecossistemas PyPi, npm e PHP, serve como um lembrete arrepiante. Os ataques à cadeia de suprimentos de software não estão apenas a aumentar; estão a crescer em sofisticação e impacto. Atacantes como TeamPCP exploram janelas curtas, de apenas duas a quatro horas, implantando payloads alimentados por Bun para recolher uma alarmante variedade de dados sensíveis. Isso inclui npm tokens, credenciais do GitHub, segredos da AWS, Azure e GCP, juntamente com segredos do Kubernetes e GitHub Actions, e até senhas de navegador. A engenhosa exfiltração via repositórios públicos do GitHub com a descrição "A Mini Shai-Hulud has Appeared" exemplifica esta engenhosidade.

Vencer esta guerra crescente da cadeia de suprimentos exige uma defesa coletiva. A segurança não é uma responsabilidade isolada; envolve todos os intervenientes, desde desenvolvedores individuais até grandes fornecedores de plataformas. Os mantenedores de pacotes devem fortificar os seus projetos com autenticação multifator, práticas de desenvolvimento seguras e varredura rigorosa de dependências. A sua vigilância contra o comprometimento de contas protege diretamente milhares. Os fornecedores de plataformas, incluindo npm e GitHub, devem aprimorar continuamente a segurança do ecossistema, oferecendo verificações avançadas de integridade, varredura robusta de vulnerabilidades e mecanismos rápidos de resposta a incidentes. A sua capacidade de detetar e substituir pacotes envenenados, como o npm fez para a SAP em poucas horas, é fundamental para fomentar a confiança.

Os desenvolvedores, os consumidores finais desses blocos de construção de código aberto, devem adotar uma mentalidade profundamente cética. Executar `npm install` cegamente é uma relíquia de uma era menos hostil. Adote uma abordagem de segurança em primeiro lugar para as dependências, ao: - Fixar versões exatas de dependência. - Executar `npm audit` e `npm ls` religiosamente. - Compreender e examinar os scripts de ciclo de vida do pacote (`pre-install`, `post-install`). - Ativar `--ignore-scripts` em ambientes CI/CD quando apropriado. - Monitorizar proativamente as alterações de dependência antes da integração.

Contribua para um ecossistema mais seguro, reportando anomalias, participando em iniciativas de segurança de código aberto e defendendo posturas de segurança padrão mais fortes em todas as suas organizações. A integridade da nossa infraestrutura digital depende deste compromisso partilhado e inabalável com um futuro mais seguro.

O que foi o ataque 'Mini Shai-Hulud' ao npm?

Foi um ataque à cadeia de suprimentos em 29 de abril de 2026, onde código malicioso foi injetado em quatro pacotes oficiais SAP CAP npm. Este código, executado via um script de pré-instalação, foi projetado para roubar credenciais de desenvolvedor e segredos da nuvem de AWS, Azure, GCP e GitHub.

Como posso verificar se fui afetado por este ataque específico?

Execute `npm audit` e `npm ls @cap-js/sqlite @cap-js/postgres @cap-js/db-service mbt` para verificar as versões comprometidas. Além disso, procure em sua máquina e conta GitHub por repositórios ou arquivos nomeados 'Mini Shai-Hulud', que foi a assinatura de exfiltração.

Qual é a maneira mais eficaz de prevenir tais ataques npm?

Uma abordagem em várias camadas é a melhor. Use `npm install --ignore-scripts` ou `npm ci --ignore-scripts` em CI/CD, fixe versões exatas de dependências, audite regularmente suas dependências e imponha políticas de segurança como autenticação de dois fatores (2FA) e tokens de curta duração para todos os serviços de desenvolvedor.

Por que os scripts de pré-instalação são tão perigosos?

Os scripts de pré-instalação são perigosos porque são executados automaticamente com as permissões totais do usuário que executa `npm install`. Isso permite que invasores executem código arbitrário na máquina de um desenvolvedor antes mesmo que o código real do pacote seja usado, tornando-os um vetor ideal para malware.