Photo by Stockcake

Pacote malicioso do Jscrambler no npm

A Jscrambler, empresa de segurança para aplicações web, publicou um alerta no sábado informando que um invasor comprometeu suas credenciais de publicação no npm e lançou versões maliciosas de seu pacote, utilizadas para infectar desenvolvedores com um malware que rouba credenciais e dados sensíveis. O pacote comprometido permaneceu disponível por duas horas e foi baixado 1.479 vezes durante esse período.

As versões afetadas incluem as releases 8.14, 8.16, 8.17 e 8.20 do pacote jscrambler, que é usado com o produto Code Integrity para proteger aplicações JavaScript contra engenharia reversa e adulteração. O malware era executado durante o hook ‘preinstall’, antes mesmo da instalação completa do pacote. A empresa removeu as versões maliciosas e publicou a versão segura 8.22.

Segundo análise da empresa de segurança Socket, o infostealer tinha como alvo uma ampla gama de dados críticos: código-fonte, credenciais de desenvolvimento (Git, SSH, variáveis de ambiente, tokens de CI/CD), credenciais de nuvem (AWS, Azure, GCP, Kubernetes), configurações de ferramentas de IA como Claude e Cursor, carteiras de criptomoedas (MetaMask, Phantom, Coinbase), dados de navegadores e aplicativos de mensageria como Slack e Discord.

O malware utilizava criptografia ChaCha20-Poly1305 para ofuscação robusta das strings, dificultando a engenharia reversa do código malicioso. A Jscrambler afirmou que o incidente foi limitado ao pacote npm e não afetou outros produtos, como o Webpage Integrity. A empresa revogou as credenciais comprometidas e implementou controles adicionais no pipeline de publicação.

A empresa recomenda que todos os desenvolvedores que utilizaram as versões afetadas tratem seus ambientes como comprometidos, rotacionem imediatamente todas as senhas e chaves de acesso e restaurem sistemas a partir de backups seguros, além de atualizarem para a versão mais recente do pacote.