O Ataque Shai-Hulud: Como um Worm de Cadeia de Suprimentos Roubou US$ 58 Milhões de Desenvolvedores e Usuários de Cripto
Na véspera de Natal de 2025, enquanto a maior parte do mundo cripto estava de folga, invasores enviaram uma atualização maliciosa para a extensão do Chrome da Trust Wallet. Em 48 horas, $ 8,5 milhões desapareceram de 2.520 carteiras. As frases semente (seed phrases) de milhares de usuários foram coletadas silenciosamente, disfarçadas como dados de telemetria de rotina. Mas este não foi um incidente isolado — foi o ponto culminante de um ataque à cadeia de suprimentos que vinha se espalhando pelo ecossistema de desenvolvimento cripto há semanas.
A campanha Shai-Hulud, nomeada em homenagem aos vermes de areia de Duna, representa o ataque à cadeia de suprimentos npm mais agressivo de 2025. Comprometeu mais de 700 pacotes npm, infectou 27.000 repositórios GitHub e expôs aproximadamente 14.000 segredos de desenvolvedores em 487 organizações. O dano total: mais de $ 58 milhões em criptomoedas roubadas, tornando-o um dos ataques direcionados a desenvolvedores mais dispendiosos na história das criptos.
A Anatomia de um Worm de Cadeia de Suprimentos
Ao contrário do malware típico que exige que os usuários baixem softwares maliciosos, os ataques à cadeia de suprimentos envenenam as ferramentas em que os desenvolvedores já confiam. A campanha Shai-Hulud transformou em arma o npm, o gerenciador de pacotes que alimenta a maior parte do desenvolvimento JavaScript — incluindo quase todas as carteiras cripto, frontends DeFi e aplicações Web3.
O ataque começou em setembro de 2025 com a primeira onda, resultando em aproximadamente $ 50 milhões em roubo de criptomoedas. Mas foi "A Segunda Vinda" em novembro que demonstrou a verdadeira sofisticação da operação. Entre 21 e 23 de novembro, os invasores comprometeram a infraestrutura de desenvolvimento de grandes projetos, incluindo Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase e Postman.
O mecanismo de propagação era elegante e terrível. Quando o Shai-Hulud infecta um pacote npm legítimo, ele injeta dois arquivos maliciosos — setup_bun.js e bun_environment.js — acionados por um script de pré-instalação (preinstall script). Diferente do malware tradicional que é ativado após a instalação, esse payload é executado antes da conclusão da instalação e até mesmo quando a instalação falha. No momento em que os desenvolvedores percebem que algo está errado, suas credenciais já foram roubadas.
O worm identifica outros pacotes mantidos por desenvolvedores comprometidos, injeta automaticamente código malicioso e publica novas versões comprometidas no registro npm. Essa propagação automatizada permitiu que o malware se espalhasse exponencialmente sem intervenção direta do invasor.
De Segredos de Desenvolvedores a Carteiras de Usuários
A conexão entre pacotes npm comprometidos e o hack da Trust Wallet revela como os ataques à cadeia de suprimentos cascateiam de desenvolvedores para usuários finais.
A investigação da Trust Wallet revelou que seus segredos do GitHub de desenvolvedores foram expostos durante o surto do Shai-Hulud em novembro. Essa exposição deu aos invasores acesso ao código-fonte da extensão do navegador e, crucialmente, à chave de API da Chrome Web Store. Armados com essas credenciais, os invasores ignoraram completamente o processo de lançamento interno da Trust Wallet.
Em 24 de dezembro de 2025, a versão 2.68 da extensão para Chrome da Trust Wallet apareceu na Chrome Web Store — publicada por invasores, não pelos desenvolvedores da Trust Wallet. O código malicioso foi projetado para percorrer todas as carteiras armazenadas na extensão e acionar uma solicitação de frase mnemônica para cada carteira. Independentemente de os usuários se autenticarem com senha ou biometria, suas frases semente foram exfiltradas silenciosamente para servidores controlados por invasores, disfarçadas de dados analíticos legítimos.
Os fundos roubados foram divididos da seguinte forma: aproximadamente $ 3 milhões em Bitcoin, mais de $ 3 milhões em Ethereum e quantias menores em Solana e outros tokens. Em poucos dias, os invasores começaram a lavar fundos por meio de corretoras centralizadas — $ 3,3 milhões para a ChangeNOW, $ 340.000 para a FixedFloat e $ 447.000 para a KuCoin.
O Interruptor do Homem Morto (Dead Man's Switch)
Talvez o mais perturbador seja o mecanismo de "interruptor do homem morto" do malware Shai-Hulud. Se o worm não conseguir se autenticar com o GitHub ou npm — se seus canais de propagação e exfiltração forem cortados — ele apagará todos os arquivos no diretório home do usuário.
Este recurso destrutivo serve para múltiplos propósitos. Ele pune tentativas de detecção, cria um caos que mascara os rastros dos invasores e fornece alavancagem caso os defensores tentem cortar a infraestrutura de comando e controle. Para desenvolvedores que não mantiveram backups adequados, uma tentativa de limpeza fracassada poderia resultar em perda catastrófica de dados, além do roubo de credenciais.
Os invasores também demonstraram sofisticação psicológica. Quando a Trust Wallet anunciou a violação, os mesmos invasores lançaram uma campanha de phishing explorando o pânico resultante, criando sites falsos com a marca Trust Wallet pedindo aos usuários que inserissem suas frases semente de recuperação para "verificação da carteira". Algumas vítimas foram comprometidas duas vezes.
A Questão do Insider
O cofundador da Binance, Changpeng Zhao (CZ), sugeriu que a exploração da Trust Wallet foi "muito provavelmente" realizada por um insider ou alguém com acesso prévio a permissões de implantação. A própria análise da Trust Wallet sugere que os invasores podem ter ganhado o controle de dispositivos de desenvolvedores ou obtido permissões de implantação antes de 8 de dezembro de 2025.
Pesquisadores de segurança observaram padrões que sugerem um possível envolvimento de um estado-nação. O momento escolhido — a véspera de Natal — segue um roteiro comum de ameaças persistentes avançadas (APT): atacar durante feriados, quando as equipes de segurança estão com pouco pessoal. A sofisticação técnica e a escala da campanha Shai-Hulud, combinadas com a rápida lavagem de fundos, sugerem recursos que vão além das operações criminosas típicas.
Por que as extensões de navegador são exclusivamente vulneráveis
O incidente da Trust Wallet destaca uma vulnerabilidade fundamental no modelo de segurança cripto. As extensões de navegador operam com privilégios extraordinários — elas podem ler e modificar páginas web, acessar o armazenamento local e, no caso de carteiras cripto, deter as chaves de milhões de dólares.
A superfície de ataque é massiva:
- Mecanismos de atualização: As extensões são atualizadas automaticamente, e uma única atualização comprometida atinge todos os usuários
- Segurança de chaves de API: As chaves de API da Chrome Web Store, se vazadas, permitem que qualquer pessoa publique atualizações
- Suposições de confiança: Os usuários assumem que as atualizações de lojas oficiais são seguras
- Timing de feriados: O monitoramento de segurança reduzido durante os feriados permite um tempo de permanência (dwell time) mais longo
Este não é o primeiro ataque de extensão de navegador a usuários de cripto. Incidentes anteriores incluem a campanha GlassWorm visando extensões do VS Code e a fraude da extensão FoxyWallet no Firefox. Mas a violação da Trust Wallet foi a maior em termos de valor em dólares e demonstrou como os comprometimentos da cadeia de suprimentos (supply chain) amplificam o impacto dos ataques de extensão.
A resposta da Binance e o precedente SAFU
A Binance confirmou que os usuários afetados da Trust Wallet seriam totalmente reembolsados por meio de seu Fundo de Ativos Seguros para Usuários (SAFU). Este fundo, estabelecido após um hack na exchange em 2018, mantém uma parte das taxas de negociação em reserva especificamente para cobrir perdas de usuários em incidentes de segurança.
A decisão de reembolsar estabelece um precedente importante — e cria uma questão interessante sobre a alocação de responsabilidade. A Trust Wallet foi comprometida sem culpa direta dos usuários, que simplesmente abriram suas carteiras durante a janela afetada. No entanto, a causa raiz foi um ataque à cadeia de suprimentos que comprometeu a infraestrutura do desenvolvedor, que, por sua vez, foi possibilitado por vulnerabilidades mais amplas do ecossistema no npm.
A resposta imediata da Trust Wallet incluiu a expiração de todas as APIs de lançamento para bloquear novas versões por duas semanas, a denúncia do domínio de exfiltração malicioso ao seu registrador (resultando em suspensão imediata) e o lançamento de uma versão limpa 2.69. Os usuários foram aconselhados a migrar fundos para novas carteiras imediatamente se tivessem desbloqueado a extensão entre 24 e 26 de dezembro.
Lições para o ecossistema cripto
A campanha Shai-Hulud expõe vulnerabilidades sistêmicas que se estendem muito além da Trust Wallet:
Para Desenvolvedores
Fixe dependências explicitamente. A exploração de scripts de pré-instalação funciona porque as instalações do npm podem executar código arbitrário. Fixar versões conhecidas como limpas evita que atualizações automáticas introduzam pacotes comprometidos.
Trate segredos como comprometidos. Qualquer projeto que tenha baixado pacotes npm entre 21 de novembro e dezembro de 2025 deve assumir a exposição de credenciais. Isso significa revogar e regenerar tokens npm, GitHub PATs, chaves SSH e credenciais de provedores de nuvem.
Implemente o gerenciamento de segredos adequado. Chaves de API para infraestrutura crítica, como a publicação em lojas de aplicativos, nunca devem ser armazenadas no controle de versão, mesmo em repositórios privados. Use módulos de segurança de hardware ou serviços dedicados de gerenciamento de segredos.
Imponha MFA resistente a phishing. A autenticação padrão de dois fatores pode ser contornada por atacantes sofisticados. Chaves de hardware como YubiKeys fornecem uma proteção mais forte para contas de desenvolvedores e CI / CD.
Para Usuários
Diversifique a infraestrutura da carteira. Não mantenha todos os fundos em extensões de navegador. As carteiras de hardware (hardware wallets) fornecem isolamento contra vulnerabilidades de software — elas podem assinar transações sem nunca expor as frases semente (seed phrases) a navegadores potencialmente comprometidos.
Assuma que as atualizações podem ser maliciosas. O modelo de atualização automática que torna o software conveniente também o torna vulnerável. Considere desativar as atualizações automáticas para extensões críticas de segurança e verificar manualmente as novas versões.
Monitore a atividade da carteira. Serviços que alertam sobre transações incomuns podem fornecer um aviso antecipado de comprometimento, potencialmente limitando as perdas antes que os atacantes esvaziem carteiras inteiras.
Para a Indústria
Fortaleça o ecossistema npm. O registro npm é uma infraestrutura crítica para o desenvolvimento Web3, mas carece de muitos recursos de segurança que impediriam a propagação do tipo worm. A assinatura obrigatória de código, builds reproduzíveis e detecção de anomalias para atualizações de pacotes poderiam elevar significativamente a barra para os atacantes.
Repense a segurança das extensões de navegador. O modelo atual — onde as extensões são atualizadas automaticamente e têm permissões amplas — é fundamentalmente incompatível com os requisitos de segurança para manter ativos significativos. Ambientes de execução em sandbox, atualizações atrasadas com revisão do usuário e permissões reduzidas poderiam ajudar.
Coordene a resposta a incidentes. A campanha Shai-Hulud afetou centenas de projetos em todo o ecossistema cripto. Um melhor compartilhamento de informações e uma resposta coordenada poderiam ter limitado os danos à medida que pacotes comprometidos eram identificados.
O futuro da segurança da cadeia de suprimentos em cripto
A indústria de criptomoedas historicamente concentrou os esforços de segurança em auditorias de contratos inteligentes, armazenamento a frio (cold storage) de exchanges e proteção contra phishing voltada para o usuário. A campanha Shai-Hulud demonstra que os ataques mais perigosos podem vir de ferramentas de desenvolvedor comprometidas — infraestrutura com a qual os usuários de cripto nunca interagem diretamente, mas que sustenta cada aplicação que eles usam.
À medida que as aplicações Web3 se tornam mais complexas, seus gráficos de dependência aumentam. Cada pacote npm, cada GitHub action, cada integração de CI / CD representa um vetor de ataque potencial. A resposta da indústria ao Shai-Hulud determinará se isso se tornará um alerta único ou o início de uma era de ataques à cadeia de suprimentos na infraestrutura cripto.
Por enquanto, os atacantes permanecem não identificados. Aproximadamente 50 milhões em roubos anteriores da campanha Shai-Hulud desapareceram em grande parte nas profundezas pseudônimas do blockchain.
O verme da areia (sandworm) penetrou profundamente nas fundações das criptomoedas. Erradicá-lo exigirá repensar suposições de segurança que a indústria deu como certas desde os seus primórdios.
Construir aplicações Web3 seguras requer infraestrutura robusta. O BlockEden.xyz fornece nós RPC de nível empresarial e APIs com monitoramento integrado e detecção de anomalias, ajudando os desenvolvedores a identificar atividades incomuns antes que elas impactem os usuários. Explore nosso marketplace de APIs para construir em fundações focadas em segurança.