Um pacote malicioso no repositório npm usa caracteres Unicode invisíveis para ocultar código e links de comando e controle. O pacote, chamado os-info-checker-es6, já foi baixado mais de mil vezes desde o início de maio.
Leia também
Hackers ligados à China atacam supply chains militares
Fornecedor de IA diz resolver alucinações
A Veracode identificou que a primeira versão publicada em março era inofensiva, mas atualizações posteriores incluíram binários específicos de plataforma, scripts de instalação ofuscados e, em 7 de maio, um novo código com mecanismo sofisticado de C2. A versão atual, v1.0.8, é maliciosa.
A esteganografia foi feita usando caracteres invisíveis da faixa Unicode U+E0100 a U+E01EF, adicionados após o caractere |. A sequência escondia uma URL do Google Agenda, usada como ponte para a carga maliciosa final. A resposta era extraída do atributo HTML data-base-title, codificado em base64, apontando para o payload.
O código é executado por meio de eval() e usa um mecanismo de persistência simples para evitar múltiplas execuções. O pacote aparece como dependência de outros quatro pacotes suspeitos: skip-tot, vue-dev-serverr, vue-dummyy e vue-bit.
Apesar do alerta da Veracode, os pacotes ainda estão disponíveis no npm.
