O perigo que mora no comando npm install e nas propostas tentadoras de emprego voltou a crescer em 2026. Nos últimos meses, pesquisadores de segurança identificaram uma onda de ataques sofisticados envolvendo o grupo Lazarus, que combina engenharia social e malwares avançados para atingir desenvolvedores de JavaScript e Python. Com campanhas como GraphAlgo, roubo de carteiras MetaMask e extorsão via HTTP 402, o cenário de ameaças para profissionais de software e segurança nunca esteve tão complexo.
Em 2026, os ataques não se limitam a pacotes maliciosos comuns. A sofisticação envolve RATs (Remote Access Trojans), sequestro de Discords corporativos e mecanismos de extorsão que cobram em criptomoedas. Com isso, torna-se crucial que desenvolvedores e profissionais de TI estejam atentos às melhores práticas de segurança na cadeia de suprimentos de software.
O esquema Lazarus: da entrevista de emprego ao RAT no sistema
O grupo Lazarus, associado à Coreia do Norte, adotou uma abordagem híbrida de engenharia social e comprometimento de repositórios públicos. A campanha começa geralmente em plataformas profissionais como LinkedIn e fóruns como Reddit, com ofertas de emprego falsas para desenvolvedores. O objetivo é induzir a vítima a baixar pacotes maliciosos ou instalar softwares comprometidos, abrindo caminho para o controle remoto do sistema.
A ilusão de legitimidade: a empresa falsa Veltrix Capital
No núcleo dessa campanha está a criação de empresas fictícias com aparência profissional. Veltrix Capital é um exemplo clássico: perfis verificados, sites sofisticados e contatos por e-mail corporativo tornam difícil para a vítima identificar a fraude. Uma vez que o candidato interage com esses perfis, arquivos ou pacotes enviados pela suposta empresa podem instalar RATs, permitindo que o Lazarus monitore atividade, capture credenciais e exfiltre dados sensíveis.
Pacotes “isca”: o caso do bigmathutils com 10.000 downloads
Além da engenharia social direta, o Lazarus usa pacotes maliciosos em repositórios públicos. O pacote bigmathutils, presente no npm com mais de 10.000 downloads, foi recentemente identificado como vetor de ataque. O malware presente nele pode coletar informações do sistema, acessar chaves de API e modificar o comportamento de outros pacotes, tudo de forma silenciosa. Esse tipo de ataque evidencia como dependências aparentemente inofensivas podem comprometer toda a cadeia de desenvolvimento.
Além do Lazarus: o perigo do Bada Stealer e o sequestro do Discord
Outros grupos e malwares continuam explorando repositórios públicos. O Bada Stealer e o duer-js, por exemplo, mostram como pacotes maliciosos podem afetar a comunicação corporativa. Após a instalação, o duer-js coleta dados de login e mensagens do Discord, enviando tudo para webhooks externos. Isso permite que atacantes monitorem equipes de desenvolvimento, obtenham informações sensíveis e até manipulem repositórios internos.
XPACK ATTACK: quando o erro 402 se torna uma ferramenta de extorsão
Outra novidade de 2026 é o XPACK ATTACK, que explora pacotes maliciosos para extorsão direta. A técnica envolve negar a instalação de pacotes e exibir um erro HTTP 402, exigindo pagamento em criptomoedas para liberar o processo. Essa abordagem combina ransomware e ataques à cadeia de suprimentos, pressionando empresas e desenvolvedores a cederem a demandas financeiras, além de expor ainda mais dados críticos.
Como se proteger: melhores práticas para desenvolvedores em 2026
A segurança na instalação de pacotes exige atenção redobrada. Algumas práticas recomendadas incluem:
- Verificar a legitimidade dos mantenedores antes de instalar pacotes, conferindo histórico e reputação no repositório.
- Auditar dependências com ferramentas de análise de segurança, identificando bibliotecas maliciosas ou comprometidas.
- Evitar clicar em links de recrutadores desconhecidos e desconfiar de ofertas de emprego suspeitas, mesmo em plataformas confiáveis.
- Monitorar atividade de rede após instalar pacotes, detectando conexões suspeitas com servidores externos.
- Usar ambientes isolados (containers ou VMs) para testes de pacotes desconhecidos, minimizando o risco de infecção do sistema principal.
Conclusão e impacto
A segurança da cadeia de suprimentos de software está mais crítica do que nunca. Campanhas como as do grupo Lazarus e ataques como o XPACK ATTACK mostram que um simples comando npm install ou pip install pode abrir portas para malwares sofisticados. Desenvolvedores, profissionais de segurança e estudantes precisam incorporar práticas preventivas ao fluxo de trabalho diário e questionar sempre a legitimidade de pacotes e recrutadores.
