Campanha maliciosa Shai-Hulud infecta mais de...

Uma campanha de ataque à cadeia de suprimentos de software, denominada Shai-Hulud, resultou na publicação de mais de 600 versões de pacotes maliciosos no repositório npm. De acordo com informações divulgadas pelo BleepingComputer, a operação concentra-se na exploração de dependências de software para comprometer aplicações legítimas. A maior parte dos pacotes afetados pertence ao ecossistema @antv, utilizado amplamente para visualização de dados. Este tipo de ataque é considerado crítico, pois utiliza a confiança dos desenvolvedores em bibliotecas de código aberto para disseminar malwares ou roubar dados. A escala da campanha Shai-Hulud destaca a vulnerabilidade persistente em repositórios de pacotes, exigindo que equipes de segurança e desenvolvedores reforcem a verificação de dependências em seus projetos para evitar a execução de códigos não autorizados em seus ambientes de produção.

Campanha maliciosa Shai-Hulud infecta mais de 600 pacotes no npm

Pontos principais

Fontes

Threat actors published 600+ malicious versions to npm as part of the Shai-Hulud supply chain campaign; most of the affected packages are in the @antv ecosystem (Bill Toulas/BleepingComputer)

Leia também

GitHub tem 3.800 repositórios internos roubados após ataque via VS Code

GitHub confirma comprometimento de 3.800 repositórios pelo grupo TeamPCP

Microsoft investiga comprometimento de pacotes PyPI e npm

Ataque à cadeia de suprimentos compromete pacotes npm do TanStack

Ataques à cadeia de suprimentos comprometem pacotes SAP, Intercom e PyPI

Comentários