Pesquisadores da Socket identificaram 60 pacotes maliciosos no repositório NPM que coletam dados confidenciais de host e rede, enviando as informações para um webhook no Discord controlado por um agente de ameaça.
Leia também
Pwn2Own Berlin premia por falhas críticas
Cisco corrige falhas críticas no ISE e Intelligence Center
Os pacotes foram publicados a partir de 12 de maio por três contas distintas e continham scripts de pós-instalação executados automaticamente durante o comando npm install. Esses scripts coletavam dados como nome do host, IP interno, diretórios do usuário, nome de usuário e servidores DNS. Também foram incluídas verificações para identificar possíveis ambientes de análise ou sandbox.
Não houve registro de payloads secundários, escalonamento de privilégios ou persistência, mas o tipo de informação coletada representa alto risco para ataques direcionados. Embora relatados, os pacotes ainda estavam disponíveis no repositório na data da publicação inicial, somando cerca de 3 mil downloads. Depois, foram removidos.
Os nomes usados imitavam pacotes legítimos, como flipper-plugins e react-xterm2, e muitos sugeriam finalidade de teste, com possível foco em pipelines de CI/CD. A lista completa está no relatório da Socket. Usuários que tenham instalado qualquer um dos pacotes devem removê-los imediatamente e realizar uma varredura completa no sistema.
Além disso, a Socket relatou uma segunda campanha envolvendo oito pacotes que existiam há até dois anos no NPM e eram ativados com base em datas codificadas. Esses scripts maliciosos eram projetados para excluir arquivos, corromper dados e sabotar sistemas baseados em React, Vue.js, Vite, Node.js e Quill. Embora as janelas de ativação já tenham expirado, recomenda-se a exclusão imediata, pois futuras atualizações podem reativar as funções destrutivas.
