Nos últimos meses, especialistas em segurança identificaram uma série de pacotes maliciosos nos repositórios do npm e do Visual Studio Code, que estão sendo usados para roubar dados sensíveis e credenciais de carteiras de criptomoedas. Essas ameaças, disfarçadas como ferramentas legítimas, visam principalmente desenvolvedores e exploram a confiança na cadeia de suprimentos de software.
Pacotes npm comprometidos coletam dados do sistema
Pesquisadores da empresa Socket revelaram que cerca de 60 pacotes maliciosos estavam disponíveis no registro oficial do npm, sendo distribuídos por três contas distintas. Esses pacotes incluíam scripts de instalação executados automaticamente ao rodar o comando npm install, o que permitia que dados como nome do host, IPs internos e externos, servidores DNS e diretórios de usuários fossem coletados e enviados para um webhook do Discord, um canal de comunicação controlado pelos atacantes.
Os scripts, projetados para funcionar em Windows, macOS e Linux, incluíam mecanismos para evitar a detecção em ambientes virtualizados utilizados por grandes empresas como Amazon e Google. Isso tornava cada sistema infectado uma potencial fonte de informações para futuros ataques.
As contas que disseminaram os pacotes – já removidas do npm – publicaram, cada uma, cerca de 20 bibliotecas em um intervalo de apenas 11 dias. Ao todo, os pacotes foram baixados mais de 3.000 vezes.
Plugins falsos destroem projetos e corrompem arquivos
Além da coleta de dados, outro conjunto de oito bibliotecas npm foi identificado simulando ser plugins para frameworks populares como React, Vue.js, Vite e Node.js. No entanto, ao serem instalados, esses pacotes ativavam cargas destrutivas, corrompendo dados, apagando arquivos críticos e até mesmo desligando o sistema.
Pacotes como vite-plugin-react-extend, js-bomb e vue-plugin-bomb executavam comandos perigosos automaticamente, afetando projetos de desenvolvimento ativos e interferindo até em componentes como o localStorage e sessionStorage dos navegadores. Segundo o pesquisador Kush Pandya, alguns pacotes se apresentavam como legítimos por terem também versões inofensivas, o que tornava mais difícil identificá-los como ameaça.
Golpes de phishing combinam pacotes npm e e-mails falsos
Outro tipo de ataque mais sofisticado combinou phishing por e-mail com um pacote npm camuflado de biblioteca de código aberto. Após o clique em um arquivo .HTM malicioso, um script JavaScript era carregado a partir da CDN jsDelivr e conduzia o usuário a uma página falsa do Office 365, personalizada para capturar credenciais com base no endereço de e-mail da vítima. O pacote utilizado neste ataque, nomeado citiycar8, já foi removido do repositório.
De acordo com o pesquisador Israel Cerda, esse ataque usava criptografia AES, múltiplos redirecionamentos e recursos CDN para dificultar a detecção.
Extensões VS Code escondem mineradores e malwares
O repositório oficial de extensões do Visual Studio Code também foi alvo de exploração. Pesquisadores da Datadog Security Research identificaram pelo menos três extensões maliciosas – solaibot, entre-eth e estação de trabalho em branco – que roubavam credenciais de carteiras Ethereum e simulavam funcionalidades legítimas para desenvolvedores Solidity no sistema Windows.
Essas extensões utilizavam técnicas avançadas de ofuscação, armazenando código malicioso até mesmo dentro de imagens hospedadas no Internet Archive. Além disso, eram capazes de instalar executáveis ocultos que desativavam o Windows Defender e acessavam diretórios de navegadores, Discord e carteiras cripto para extrair mais dados.
O grupo responsável, identificado como MUT-9332, também foi associado a uma outra campanha que utilizava extensões falsas do VS Code com o intuito de instalar o minerador de criptomoedas XMRig, se passando por ferramentas de desenvolvimento ou de inteligência artificial.
