Pesquisadores de segurança identificaram dois pacotes NPM maliciosos com backdoors que podem apagar completamente os sistemas onde são instalados. Os pacotes express-api-sync e system-health-sync-api, publicados sob o nome “Botsailer”, simulam ferramentas de sincronização e monitoramento, mas introduzem rotas ocultas com comandos de destruição total de arquivos.
Leia também
Operação Endgame remove 300 servidores de ransomware
Servidor expõe instalações nucleares bélicas
O express-api-sync injeta silenciosamente uma rota HTTP (/api/this/that) que, ao ser acionada com a chave “Default_123”, executa o comando rm -rf *, apagando todos os arquivos do diretório do projeto. A ação ocorre sem logs, mensagens de erro ou qualquer outra indicação visível para o desenvolvedor.
Já o system-health-sync-api é ainda mais sofisticado. Ele coleta e envia informações do sistema, como IP, ID do processo e URLs de backend, para o e-mail codificado [email protected] Também aceita comandos via rotas /__/system/health e /__/sys/maintenance, com a chave “Helloworld”, que ativam o mesmo comando destrutivo, tanto para Unix quanto para Windows.
As credenciais SMTP são embutidas nos pacotes e usadas como canal de comando e controle. Ao iniciar, o malware testa a conectividade com o servidor de e-mail, sinalizando que está pronto para receber comandos remotos.
A análise conduzida pela empresa Socket alerta que, diferentemente de ataques que visam roubo de dados, esses pacotes têm como foco a destruição e sabotagem, com potencial para afetar ambientes de produção inteiros. O uso de middleware torna os ataques mais perigosos, pois esse tipo de código é executado em todas as requisições e tem acesso irrestrito ao sistema.
Especialistas recomendam que desenvolvedores revisem imediatamente suas dependências e utilizem ferramentas de análise comportamental capazes de detectar o que os pacotes realmente fazem em tempo de execução.
