CibersegurançaNotícias

175 pacotes NPM maliciosos usados em campanha de phishing

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
npm

Entenda como a campanha Beamglea transformou o registro npm em uma infraestrutura para roubo de credenciais.

Nos últimos meses, uma surpreendente campanha de phishing chamada Beamglea chamou a atenção da comunidade de segurança cibernética. O que torna essa ação particularmente notável é o uso de pacotes npm maliciosos como ferramenta de ataque, aproveitando uma infraestrutura criada para facilitar o trabalho de desenvolvedores, mas que acabou sendo manipulada para fins maliciosos. Até o momento, foram identificados 175 pacotes maliciosos relacionados à campanha, com mais de 26.000 downloads, elevando o alerta sobre a segurança no ecossistema npm.

Conteúdo

O que torna a campanha Beamglea inovadora é que os pacotes não infectam diretamente os sistemas dos desenvolvedores. Em vez disso, os atacantes usaram o npm e o unpkg.com como uma infraestrutura para hospedar scripts de redirecionamento que facilitam o roubo de credenciais. Este artigo explora em detalhes como essa tática funciona, o que ela significa para a segurança de software de código aberto e quais medidas podem ser adotadas para se proteger contra ataques desse tipo.

Este caso serve como um alerta sobre a crescente sofisticação de ataques à cadeia de suprimentos de software. A confiança que desenvolvedores depositam em pacotes legítimos pode ser explorada, tornando necessário repensar práticas de segurança, monitoramento de dependências e conscientização sobre phishing.

Imagem malware BeaverTail em pacotes npm

O que é a campanha Beamglea?

A campanha Beamglea foi descoberta por pesquisadores da Socket, que identificaram um padrão de ataques voltados a roubar credenciais de funcionários de mais de 135 empresas nos setores de tecnologia, energia e indústria. O objetivo principal não é infectar computadores, mas coletar dados de login de forma eficiente e direcionada.

Apesar do número expressivo de downloads — 26.000 — é importante notar que nem todos correspondem a vítimas reais. Muitos downloads podem ser originados de pesquisadores de segurança, scanners automatizados ou sistemas de análise de pacotes. Ainda assim, o risco permanece alto, pois a campanha aproveita a infraestrutura legítima do npm e do unpkg.com para disseminar scripts de redirecionamento que conduzem vítimas a páginas falsas de login.

Em resumo, a campanha Beamglea representa um ataque sofisticado à cadeia de suprimentos de software, onde a confiança em ferramentas legítimas é usada contra os próprios desenvolvedores e empresas.

Como o ataque funciona: usando npm e unpkg como infraestrutura

O diferencial da campanha Beamglea está no fato de que os pacotes npm maliciosos não executam código nocivo na máquina do desenvolvedor durante a instalação. Em vez disso, eles são usados como veículos para hospedar scripts de redirecionamento, aproveitando a confiabilidade e a resiliência do npm e do unpkg.com.

A criação automatizada de pacotes

Os atacantes utilizaram um script chamado redirect_generator.py, escrito em Python, para automatizar a criação e publicação de pacotes no npm. Cada pacote tinha um nome aleatório, geralmente no formato redirect-xxxxxx, dificultando a detecção por desenvolvedores ou ferramentas automatizadas.

Além disso, o script permitia que o e-mail da vítima e a URL da página de phishing fossem inseridos dinamicamente em cada pacote. Isso significa que cada vítima recebia um redirecionamento personalizado, aumentando drasticamente a efetividade do ataque.

O redirecionamento inteligente via CDN

Após a instalação do pacote ou abertura de um arquivo enviado por e-mail, a vítima encontrava arquivos HTML que aparentavam ser documentos legítimos, como ordens de compra ou especificações técnicas. Esses arquivos continham uma única linha de código JavaScript apontando para o script beamglea.js hospedado na CDN do unpkg.com.

O script carregado fazia o redirecionamento do usuário para uma página de login falsa da Microsoft, já pré-preenchida com o e-mail da vítima. Essa abordagem inteligente aumenta a probabilidade de sucesso do phishing, tornando a fraude quase indetectável para usuários menos atentos.

Por que esta abordagem é tão perigosa e inovadora?

O uso do npm e do unpkg.com como infraestrutura involuntária de ataque representa uma inovação preocupante no campo da segurança. Diferente de ataques tradicionais, onde malware é instalado diretamente no sistema, aqui o tráfego e o carregamento de scripts vêm de domínios legítimos e confiáveis, tornando a detecção e o bloqueio muito mais difíceis.

Segundo os pesquisadores da Socket:
“O ecossistema npm se torna uma infraestrutura involuntária, em vez de um vetor de ataque direto.”

Isso evidencia como criminosos cibernéticos estão explorando infraestruturas de confiança para atingir seus objetivos, sem precisar comprometer diretamente os sistemas das vítimas.

Como se proteger de ataques na cadeia de suprimentos de software

A prevenção de ataques desse tipo exige uma combinação de boas práticas de desenvolvimento, conscientização e ferramentas de segurança:

  • Auditoria de pacotes: Utilize regularmente comandos como npm audit para verificar vulnerabilidades em dependências.
  • Verificação de fontes: Confirme a autenticidade dos pacotes antes de instalar. Evite pacotes com nomes suspeitos ou criados recentemente.
  • Treinamento de usuários: Conscientize equipes sobre phishing, especialmente quando receberem arquivos HTML ou documentos que parecem legítimos.
  • Políticas de segurança: Implemente regras claras sobre instalação de dependências e integração de novos pacotes, priorizando repositórios confiáveis.
  • Monitoramento contínuo: Use ferramentas de segurança para monitorar comportamentos suspeitos em scripts carregados por pacotes ou CDNs externas.

Essas medidas reduzem significativamente o risco de cair em ataques sofisticados como o Beamglea, protegendo tanto desenvolvedores quanto a infraestrutura corporativa.

Conclusão: o futuro da segurança em ecossistemas abertos

A campanha Beamglea é um exemplo claro de como a segurança em ecossistemas de código aberto deve evoluir para acompanhar a criatividade dos atacantes. Ao transformar pacotes npm maliciosos em infraestrutura de phishing, os criminosos exploram a confiança que desenvolvedores depositam em ferramentas legítimas.

Para mitigar riscos, é fundamental que a comunidade de desenvolvedores permaneça vigilante, reporte pacotes suspeitos e contribua para a criação de práticas de segurança robustas no ecossistema de software. A colaboração entre desenvolvedores, profissionais de segurança e gestores de TI é essencial para garantir que a confiança no código aberto continue sendo uma vantagem, e não uma vulnerabilidade.

TAGGED:
Compartilhe este artigo
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Follow:
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.
Artigo anterior Logotipo do Node.js com elementos gráficos em verde conectando pontos em uma rede sobre um fundo escuro Stealit: malware que se esconde em jogos e abusa do Node.js SEA
Próximo artigo Nanoprecise e AccuKnox: Fortalecendo a Segurança de Nuvem com Zero Trust Nanoprecise e AccuKnox: Fortalecendo a Segurança de Nuvem com Zero Trust
WindowsMicrosoft

Microsoft lança Edit: um editor de texto command-line leve para Windows 11

Microsoft lança Edit: um editor de texto command-line leve para Windows 11

Edit é a nova ferramenta leve da Microsoft para edição de texto em Windows 11, disponível via command-line. Descubra suas funcionalidades!

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto