Dezenove pacotes maliciosos no registro npm estão propagando um verme conhecido como SANDWORM_MODE. Esses pacotes roubam chaves crypto, segredos de CI, tokens de API e chaves de API de IA. O roubo ocorre por meio de injeção MCP.
Pesquisadores de segurança identificaram 19 pacotes npm maliciosos que estão coletando ativamente informações sensíveis dos sistemas dos desenvolvedores. De acordo com relatórios, esses pacotes propagam um verme chamado SANDWORM_MODE, que visa chaves crypto, segredos de integração contínua (CI), tokens de API e chaves de API de IA. O software malicioso emprega injeção MCP como seu método principal para extrair e exfiltrar esses dados. npm, o popular gerenciador de pacotes para JavaScript e Node.js, serve como plataforma de distribuição para essas ameaças, podendo comprometer desenvolvedores que instalam os pacotes afetados sem saber. Este incidente destaca os riscos contínuos nos ecossistemas de software de código aberto, onde ataques à cadeia de suprimentos podem levar a violações de dados em larga escala. Não foram fornecidos detalhes específicos sobre os nomes exatos dos 19 pacotes ou o número total de usuários afetados nas informações disponíveis. Recomenda-se que os desenvolvedores revisem suas dependências e usem ferramentas para escanear vulnerabilidades em pacotes npm para mitigar esses riscos.