O grupo TeamPCP divulgou publicamente o código-fonte completo do worm Shai-Hulud em 12 de maio de 2026, abrindo caminho para que qualquer criminoso possa replicar ou adaptar o malware para novos ataques à cadeia de suprimentos de software.
Os repositórios foram publicados no GitHub sob diferentes contas de usuário e acompanhados de instruções detalhadas de uso. O GitHub removeu os repositórios, mas não antes de múltiplos forks serem criados. Pesquisadores da Ox Security já identificaram atores externos modificando o código para campanhas próprias.
smart_display
Nossos vídeos em destaque
O que é o Shai-Hulud e por que você já deve ter ouvido falar
O Shai-Hulud é um worm, um tipo de malware que se propaga automaticamente, desenvolvido pelo grupo TeamPCP e voltado para o ecossistema de desenvolvimento de software. O nome é uma referência ao verme gigante da saga “Dune”.
Desde setembro de 2025, o malware tem atacado pacotes do npm, o maior repositório de bibliotecas JavaScript do mundo. O TecMundo já reportou que o Brasil figurava entre os três países mais afetados.
O funcionamento segue uma lógica de cadeia. O worm se instala em pacotes legítimos de desenvolvedores, rouba credenciais de nuvem, GitHub e npm, e republica versões infectadas desses pacotes. Quem baixa os pacotes contaminados repete o ciclo involuntariamente.
TeamPCP transforma o worm em ferramenta coletiva
Ao abrir o código-fonte, o grupo não apenas expôs seu arsenal. Ele publicou o que pesquisadores da Datadog descrevem como um framework modular de ofensiva completo, com componentes para coleta de credenciais, envenenamento de pacotes npm e repositórios GitHub, criptografia dos dados roubados e exfiltração para servidores controlados pelos atacantes.
)
Junto ao lançamento, o TeamPCP e o fórum BreachForums anunciaram um “supply chain challenge”, uma espécie de concurso em que criminosos são convidados a usar o Shai-Hulud em ataques reais, apresentar provas de comprometimento e causar o máximo de impacto possível para ganhar recompensas financeiras.
“O TeamPCP está virando o volume ao máximo em suas atividades ao disponibilizar isso para qualquer um que queira usar”, disse Ben Ronallo, engenheiro-chefe de segurança da Black Duck.
O que o código revelou que não se sabia antes
A análise do código-fonte feita pela Datadog confirmou características já observadas em ataques anteriores e revelou capacidades inéditas.
)
Entre as conhecidas estão a leitura da memória do processo Runner.Worker do GitHub Actions para extrair segredos antes que o sistema de mascaramento entre em ação, a exfiltração criptografada com RSA-4096 e AES-256-GCM, e o uso de repositórios GitHub como canal de entrega dos dados roubados.
Entre as inéditas, o código expôs um mecanismo de persistência que usa hooks do Claude Code, ferramenta de programação com IA da Anthropic. Ao comprometer um repositório, o worm insere um arquivo de configuração que executa o malware automaticamente sempre que o Claude Code é iniciado no projeto. O mesmo ocorre com o VS Code, o editor de código da Microsoft, que executa o payload ao abrir a pasta do projeto.
O código também revelou um mecanismo de falsificação de proveniência Sigstore. Isso significa que pacotes npm envenenados podem aparecer com certificados legítimos de verificação de build, passando por processos de auditoria automatizados como se fossem confiáveis.
)
Outro elemento novo é o “dead-man switch”. Se um token GitHub roubado for revogado pela vítima durante a resposta ao incidente, um daemon instalado pelo malware executa o comando rm -rf ~/, apagando todo o diretório pessoal do usuário. O commit de exfiltração deixa esse aviso explícito no próprio histórico do repositório.
Cada build gera um binário diferente, dificultando detecção
Um detalhe técnico relevante para quem trabalha com defesa é que o pipeline de compilação do Shai-Hulud gera uma senha aleatória única a cada build. Essa senha alimenta a codificação de strings internas, o que faz com que dois binários compilados a partir do mesmo código-fonte sejam completamente diferentes entre si.
Isso inviabiliza regras de detecção baseadas em assinaturas, como as usadas pelo YARA, um formato amplamente adotado em segurança para identificar malware. Uma amostra capturada não serve para detectar a próxima versão implantada.
)
Como verificar se você foi afetado
Antes de revogar qualquer token do GitHub, é necessário desativar o daemon instalado pelo
malware para evitar a destruição dos arquivos. No macOS, o comando é [launchctl unload ~/Library/LaunchAgents/com.user.gh-token-monitor.plist]. No Linux, [systemctl –user stop gh-token-monitor.service].
Após desativar o daemon, verifique se há hooks maliciosos no arquivo ~/.claude/settings.json ou em arquivos .claude/settings.json de repositórios individuais. Qualquer hook do tipo SessionStart apontando para node .vscode/setup.mjs ou node .claude/setup.mjs deve ser tratado como comprometimento.
Em repositórios Git, procure commits com o e-mail claude@users.noreply.github.com e a mensagem “chore: update dependencies” em todas as branches.
)
Pacotes npm comprometidos podem ser identificados por bumps de versão inesperados e pela presença de um script preinstall no package.json. Versões afetadas devem ser retiradas do registro imediatamente.
“Organizações devem começar a se preparar para um aumento significativo e sustentado em atividades de comprometimento de cadeia de suprimentos”, disse Ronallo.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.
