A empresa de segurança Socket publicou um alerta sobre uma campanha em andamento que utiliza 60 pacotes NPM maliciosos para coletar e exfiltrar dados de sistemas Windows, Linux e macOS. A ação visa desenvolvedores e empresas ao ativar scripts no momento da instalação dos pacotes.
Leia também
Microcredenciais de IA favorecem candidatos
Pwn2Own Berlin premia por falhas críticas
Esses scripts coletam nomes de host, endereços IP, servidores DNS e caminhos de diretório, enviando as informações para um webhook no Discord controlado pelo invasor. A campanha inclui mecanismos simples de evasão de sandbox e foi desenvolvida para identificar sistemas que criem ou utilizem os pacotes maliciosos.
A Socket afirma que os pacotes já foram baixados mais de 3.000 vezes, permitindo que o agente de ameaça mapeie redes internas e as conecte à infraestrutura pública das vítimas. Isso pode facilitar ataques futuros, inclusive contra cadeias de suprimento, ao expor URLs de registros internos e caminhos de construção.
Três contas NPM foram responsáveis por publicar 20 pacotes cada: bbbb335656, cdsfdfafd1232436437 e sdsds656565. Todos os pacotes contêm o mesmo código e enviam dados para o mesmo webhook.
A Socket recomendou a remoção urgente dos pacotes e alertou que novos uploads maliciosos podem ocorrer se as contas envolvidas não forem suspensas. A empresa sugere que desenvolvedores utilizem ferramentas para inspecionar dependências e identifiquem pacotes suspeitos por meio de tarballs muito pequenos, URLs codificados e scripts pós-instalação.
