Cibercriminosos estão utilizando pacotes NPM maliciosos para roubar credenciais do PayPal e sequestrar transferências de criptomoedas. Segundo a Fortinet, vários desses pacotes, com nomes como oauth2-paypal e buttonfactoryserv-paypal, foram publicados por um agente de ameaça conhecido como tommyboy_h1 e tommyboy_h2. Os pacotes usam temas relacionados ao PayPal para enganar desenvolvedores e incluem ganchos de pré-instalação que executam scripts maliciosos para coletar dados sensíveis e enviá-los a servidores remotos.
Leia também
App Store promoverá apps de desenvolvedores
Surto de ataques de phishing com QR codes
Esses scripts são ativados automaticamente antes da instalação, permitindo que informações como nomes de usuário e senhas sejam capturadas sem o conhecimento do usuário. A Fortinet recomenda atenção a pacotes com nomes suspeitos e monitoramento de conexões de rede inesperadas com servidores desconhecidos como forma de identificar possíveis comprometimentos.
Usuários das carteiras de criptomoedas Atomic Wallet e Exodus também foram alvos. A ReversingLabs identificou um pacote NPM chamado pdf-to-office, que se apresenta como uma biblioteca de conversão de arquivos, mas substitui arquivos locais legítimos por versões adulteradas. Esses arquivos maliciosos mantêm a funcionalidade original, mas alteram os endereços de saída das transações para endereços controlados por criminosos.
Além disso, o pacote envia um arquivo ZIP para um servidor remoto, indicando que ele também pode estar coletando outras informações sensíveis. Para evitar perdas financeiras, os usuários afetados precisam remover completamente os aplicativos comprometidos e reinstalá-los, pois a simples exclusão do pacote NPM malicioso não impede o redirecionamento de fundos.
As descobertas reforçam a importância da análise criteriosa de pacotes antes da instalação, especialmente os que usam nomes de bibliotecas populares ou fazem referência a serviços financeiros.
