O retorno do Mini Shai-Hulud: ataque de cadeia de suprimentos autoespalhável atinge o ecossistema npm (11/5)

Visão geral

Este é um caso em que o worm Mini Shai-Hulud está infectando ativamente pacotes npm legítimos ao sequestrar pipelines de CI/CD e roubar segredos de desenvolvedores. O OSS Package Security Feed da StepSecurity detectou esse ataque primeiro em pacotes oficiais @tanstack e está acompanhando em tempo real sua disseminação por todo o ecossistema.

Momento e escala do incidente

Por volta de 19:20 UTC em 11 de maio de 2026, 10 versões maliciosas de pacotes oficiais @tanstack/* foram publicadas no registro npm em menos de 6 minutos. Esses pacotes são componentes centrais do framework TanStack Router, usado em centenas de milhares de projetos React.

Payload malicioso

Foi injetado um payload ofuscado de roubo de credenciais com 2,3 MB, projetado para coletar tokens do GitHub, tokens npm e segredos de CI/CD.

Ameaça central — mecanismo de autoespalhamento

O worm Shai-Hulud não precisa invadir diretamente um repositório; ele pega carona no processo legítimo de build e usa os tokens do usuário para se espalhar. Em outras palavras, até mesmo pacotes com SLSA provenance, publicação baseada em OIDC e pipelines de CI/CD confiáveis podem ser transformados em armas — esse é o principal ponto de alerta desse ataque.

Risco de infecção em cadeia

A estrutura interconectada do ecossistema npm é um meio ideal de propagação, e quando um único token é comprometido, a infecção em cadeia pode atingir dezenas de pacotes em poucos minutos — neste caso, 10 versões maliciosas foram distribuídas em 5 pacotes em menos de 6 minutos.