O ataque começou quando um agente de ameaça publicou novas versões de pacotes populares alegando adicionar suporte ao runtime Bun. No entanto, essas versões continham scripts maliciosos que baixavam o TruffleHog, uma ferramenta capaz de encontrar segredos e tokens expostos no computador, como credenciais de AWS, Azure, GitHub e tokens do próprio NPM.

Depois de coletar essas informações, o malware cria um runner de GitHub Actions chamado “SHA1HULUD” e envia os segredos roubados para repositórios falsos criados pelo próprio invasor. O código também adultera o package.json, se reinfecta e publica novas versões usando tokens roubados, o que permite que o ataque se espalhe de forma automática, infectando outros pacotes.

Esse incidente parece estar ligado ao mesmo autor do ataque “Shai-Hulud”, ocorrido em setembro. Entre as bibliotecas afetadas estão zapier-sdk nas versões 0.15.5 e 0.15.7, posthog/core (1.5.6), posthog-node (5.11.3, 5.13.3 e 4.18.1), asyncapi/specs (6.10.1, 6.8.2, 6.9.1 e 6.8.3) e postman/tunnel-agent (0.6.6 e 0.6.5). Juntas, elas somam cerca de 7,3 milhões de downloads semanais.

👀 Quer verificar se seu projeto foi afetado?

Verificação Rápida (2 minutos)

Entre na pasta do seu projeto e execute:

npm ls --depth=10 | grep -E "@asyncapi|@ensdomains|@posthog|@postman|@zapier|@voiceflow|@browserbasehq|@oku-ui"

Se retornar algo, seu projeto pode estar afetado.

Verificação por Grupo

AsyncAPI Tools

npm ls @asyncapi/cli @asyncapi/parser @asyncapi/generator --depth=10

Ethereum/ENS

npm ls @ensdomains/ensjs ethereum-ens crypto-addr-codec --depth=10

PostHog Analytics

npm ls posthog-js posthog-node @posthog/agent --depth=10

Postman

npm ls @postman/postman-mcp-server @postman/mcp-ui-client --depth=10

Zapier

npm ls zapier-platform-core @zapier/zapier-sdk --depth=10

Voiceflow

npm ls @voiceflow/api-sdk @voiceflow/runtime --depth=10

Script Automatizado

Cole isso em um arquivo check-compromised-deps.sh:

#!/bin/bash

echo "🔍 Verificando dependências comprometidas..."
echo ""

CRITICAL_PACKAGES=(
  "@asyncapi/cli"
  "@ensdomains/ensjs"
  "posthog-js"
  "posthog-node"
  "@postman/postman-mcp-server"
  "zapier-platform-core"
  "@voiceflow/api-sdk"
  "ethereum-ens"
  "utilitas"
)

FOUND=0

for pkg in "${CRITICAL_PACKAGES[@]}"; do
  if npm ls "$pkg" --depth=10 &>/dev/null; then
    echo "⚠️  ENCONTRADO: $pkg"
    FOUND=$((FOUND + 1))
  fi
done

echo ""
if [ $FOUND -eq 0 ]; then
  echo "✅ Nenhuma dependência comprometida encontrada"
else
  echo "❌ Encontradas $FOUND dependências comprometidas"
  echo ""
  echo "Execute 'npm audit' para mais detalhes"
fi

Execute:

chmod +x check-compromised-deps.sh
./check-compromised-deps.sh

Comandos Úteis

Ver árvore completa de uma dependência:

npm ls [nome-do-pacote] --depth=10

Verificar vulnerabilidades conhecidas:

npm audit

Gerar relatório JSON:

npm ls --json --depth=10 > deps-report.json

Pacotes Específicos Mais Críticos

Se usar algum destes, verifique imediatamente:

@asyncapi/[email protected]
[email protected]
[email protected], 5.11.3, 5.13.3
@postman/[email protected], 2.4.11
[email protected], 18.0.3
@voiceflow/[email protected], 3.28.59
[email protected]
[email protected]

FAQ Rápido

P: depth=10 é necessário?
R: Sim, a dependência comprometida pode ser transitiva (dependência de dependência).

P: Encontrei mas não uso diretamente
R: Ainda é problema. Use npm ls [pacote] --depth=10 para ver quem está trazendo.

P: O que fazer se encontrar?
R: Execute npm audit, documente, e aguarde orientações oficiais dos mantenedores.

Espero que ajude! Se alguém tiver mais dicas ou boas práticas de mitigação, bora compartilhar por aqui! 💬

Ataque à cadeia de suprimentos afeta mais de 300 pacotes NPM