Em 12 de maio de 2026, o grupo cibercriminoso TeamPCP disponibilizou publicamente o código-fonte completo do worm Shai-Hulud. A liberação abre caminho para que qualquer invasor replique ou modifique o malware, ampliando os riscos de ataques contra a cadeia de suprimentos de software.
Embora o GitHub tenha agido rapidamente para remover os repositórios onde as instruções e o código foram publicados sob contas variadas, múltiplos forks já haviam sido criados. Especialistas da Ox Security confirmaram que grupos externos já estão alterando o código para iniciar suas próprias campanhas de ataque.
O que é o Shai-Hulud?
O Shai-Hulud é um worm — um tipo de malware de propagação automatizada — batizado em referência aos vermes gigantes da franquia Dune. Desde setembro de 2025, a ameaça vem infectando pacotes do npm (o maior repositório de bibliotecas JavaScript do mundo). O Brasil desponta como um dos três países mais prejudicados pela praga.
O ataque opera em um efeito cascata:
- O worm infecta pacotes legítimos criados por desenvolvedores.
- Ele rouba credenciais de plataformas de nuvem, GitHub e npm.
- Utilizando esses dados, o malware republica versões contaminadas dos pacotes.
- Novos usuários baixam os arquivos infectados, reiniciando o ciclo de contaminação.
Estrutura modular e “Concurso de Ataques”
Ao abrir o código, o TeamPCP entregou o que analistas da Datadog classificam como um framework ofensivo modular completo. O pacote inclui módulos prontos para roubo de credenciais, contaminação de repositórios GitHub e pacotes npm, além de ferramentas de criptografia e envio dos dados roubados para servidores dos criminosos.
Para incentivar o uso da ferramenta, o TeamPCP e o fórum BreachForums lançaram o “supply chain challenge”. Trata-se de uma competição criminosa que oferece recompensas financeiras para quem utilizar o Shai-Hulud em invasões reais, buscando gerar o maior impacto possível.
“O TeamPCP está elevando a ameaça ao nível máximo ao colocar essa ferramenta ao alcance de qualquer interessado”, alerta Ben Ronallo, engenheiro-chefe de segurança da Black Duck.
Descobertas inéditas do código-fonte
A análise minuciosa feita pela Datadog validou comportamentos já conhecidos e trouxe à tona novas capacidades do vírus que até então eram desconhecidas:
Recursos já mapeados:
- Leitura da memória do processo
Runner.Workerdo GitHub Actions (capturando credenciais antes do mascaramento do sistema). - Envio de dados roubados com criptografia pesada (RSA-4096 e AES-256-GCM).
- Uso de repositórios do próprio GitHub como ponte para o recebimento dos dados interceptados.
Novas táticas descobertas:
- Persistência via Inteligência Artificial: O malware injeta configurações maliciosas em hooks do Claude Code (assistente de IA da Anthropic) e do VS Code (Microsoft). Assim que o desenvolvedor abre o projeto ou inicia a IA, o vírus é executado em segundo plano.
- Falsificação de assinaturas Sigstore: O worm consegue mascarar os pacotes npm envenenados com certificados de verificação de construção (build) legítimos, burlando auditorias automáticas.
- Mecanismo de autodestruição (Dead-man switch): Caso a vítima descubra o ataque e revogue o token roubado do GitHub, um processo ativo do vírus executa o comando
rm -rf ~/, deletando toda a pasta pessoal do usuário. O próprio histórico de commits deixa um aviso explícito sobre essa retaliação.
Blindagem contra ferramentas de detecção
Um dos maiores desafios para os times de defesa é o formato de compilação do Shai-Hulud. Cada nova build do malware gera uma senha aleatória que codifica suas strings internas.
Isso faz com que cada arquivo binário gerado seja totalmente diferente do anterior, inviabilizando a detecção por assinaturas (como as regras YARA). Uma amostra do vírus coletada hoje não serve para identificar a versão que será distribuída amanhã.
Guia de Mitigação: Como verificar sua infraestrutura
Se houver suspeita de infecção, não revogue os tokens do GitHub imediatamente, pois isso acionará a destruição de arquivos. Siga o protocolo abaixo:
1. Desative o processo de destruição (Daemon)
- No macOS: Execute
launchctl unload ~/Library/LaunchAgents/com.user.gh-token-monitor.plist - No Linux: Execute
systemctl --user stop gh-token-monitor.service
2. Audite as configurações de IA e Editores
Procure por alterações suspeitas no arquivo ~/.claude/settings.json ou nas pastas locais dos projetos. Fique atento a hooks do tipo SessionStart que direcionem para caminhos como node .vscode/setup.mjs ou node .claude/setup.mjs.
3. Monitore o Histórico do Git
Busque em todas as ramificações (branches) por commits que utilizem o e-mail claude@users.noreply.github.com com o título de alteração "chore: update dependencies".
4. Inspecione Pacotes npm
Verifique se houve atualizações de versão inesperadas (version bumps) ou a inclusão de scripts de preinstall suspeitos no arquivo package.json. Caso encontre irregularidades, remova as versões do registro imediatamente.
“As empresas precisam se estruturar imediatamente para enfrentar uma onda agressiva e prolongada de ataques voltados contra a cadeia de suprimentos de software”, conclui Ben Ronallo.





