Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
Imagem gerada por IA

Pacotes npm maliciosos roubam credenciais de desenvolvedores em múltiplas plataformas

Imagem gerada por IA

Dez pacotes npm com erros de digitação intencionais, carregados em 4 de julho de 2025, foram encontrados baixando um infostealer que visa dados sensíveis em sistemas Windows, Linux e macOS. Esses pacotes, que imitam bibliotecas populares, evadiram a detecção por meio de múltiplas camadas de ofuscação e acumularam quase 10.000 downloads. A empresa de cibersegurança Socket relatou a ameaça, observando que os pacotes ainda estão disponíveis no registro.

Em 4 de julho de 2025, atores de ameaças carregaram dez pacotes maliciosos no registro npm, usando typosquatting para se passar por software legítimo como TypeScript, discord.js, ethers.js, nodemon, react-router-dom e zustand. Os pacotes—typescriptjs, deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js e zustand.js—enganaram desenvolvedores a instalá-los ao aparecerem nos resultados de busca pelos nomes reais.

Após a instalação, um script postinstall é ativado, gerando um terminal oculto que executa 'app.js' e limpa a janela para evitar detecção. Esse carregador emprega quatro camadas de ofuscação: um invólucro eval de auto-decodificação, descriptografia XOR com chave dinâmica, payload codificado em URL e ofuscação pesada de fluxo de controle. Ele exibe um CAPTCHA ASCII falso no terminal para parecer legítimo, depois envia a geolocalização da vítima e a impressão digital do sistema para um servidor de comando e controle.

O malware subsequentemente baixa um binário infostealer de 24 MB empacotado com PyInstaller adaptado ao SO do host. Essa ferramenta extrai credenciais de keyrings do sistema, incluindo Windows Credential Manager, macOS Keychain e opções do Linux como SecretService, libsecret e KWallet. Ela também mira navegadores baseados em Chromium e Firefox para perfis, senhas salvas e cookies de sessão, além de chaves SSH em diretórios comuns e tokens como OAuth, JWT e chaves API.

Dados roubados são comprimidos em arquivos e armazenados em /var/tmp ou /usr/tmp antes da exfiltração para o servidor do atacante em 195.133.79.43. Apesar do relatório da Socket ao npm, os pacotes ainda estavam disponíveis no final de outubro de 2025. Especialistas instam desenvolvedores afetados a remover os pacotes, rotacionar todas as credenciais e verificar fontes de editores respeitáveis para prevenir compromissos.

Artigos relacionados

Seventy-three Microsoft open source packages were compromised late last week with malware that steals credentials from cloud services and developer tools. The malicious code activates when opened in AI coding agents.

Reportado por IA

Developer platform Socket has identified a malware known as TrapDoor that is targeting crypto and AI developers.

A ransomware group known as ShinyHunters exploited a critical zero-day flaw in Oracle’s PeopleSoft software to target about 100 organizations. The attackers stole gigabytes of data from victims, including the University of Nottingham, and issued extortion demands. Oracle has released a mitigation but not a full patch.

Reportado por IA

Google published proof-of-concept exploit code on Wednesday for a vulnerability in its Chromium browser that has gone unfixed for 29 months. The flaw affects Chrome, Microsoft Edge, and other Chromium-based browsers used by millions worldwide. It enables attackers to establish persistent connections for monitoring user activity and launching attacks.

terça-feira, 16 de junho de 2026, 20:05h

Arch Linux disables new AUR registrations after malware waves

sábado, 13 de junho de 2026, 16:49h

Malware infects 1579 packages in Arch Linux AUR

segunda-feira, 11 de maio de 2026, 06:22h

Fake OpenAI repository tops Hugging Face downloads

terça-feira, 05 de maio de 2026, 12:10h

Daemon Tools app hit by monthlong supply-chain attack

quarta-feira, 22 de abril de 2026, 09:46h

Microsoft patches critical ASP.NET Core vulnerability on macOS and Linux

Este site usa cookies

Usamos cookies para análise para melhorar nosso site. Leia nossa política de privacidade para mais informações.
Recusar