Malwares

Ataques sofisticados comprometem PyPI, npm e Ruby com pacotes maliciosos

Imagem do autor do SempreUpdate Jardeson Márcio
Por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...
Follow:
Malwares
Imagem de hacker
Imagem: Bleeping Computer

Pacotes maliciosos PyPI, npm e Ruby expõem riscos à cadeia de suprimentos

Ataques sofisticados estão comprometendo repositórios populares como PyPI, npm e RubyGems com pacotes maliciosos projetados para roubar dados, apagar projetos inteiros e drenar carteiras de criptomoedas. A nova onda de ameaças reforça os riscos crescentes na cadeia de suprimentos de software open source.

Conteúdo

Ataques à cadeia de suprimentos comprometem PyPI, npm e Ruby com pacotes maliciosos

npm

Cresce a ameaça à cadeia de suprimentos de software

A cadeia de suprimentos de software open source enfrenta uma nova série de ataques coordenados. Diversos pacotes maliciosos foram identificados nos repositórios PyPI, npm e RubyGems, afetando desenvolvedores que, sem saber, integraram esses códigos nocivos aos seus projetos.

A descoberta foi feita por empresas como Checkmarx, ReversingLabs, Safety e Socket, que revelaram detalhes sobre como os atacantes se aproveitaram da confiança nos ecossistemas open source para comprometer projetos e roubar dados sensíveis.

Ataques sofisticados ao RubyGems miram Telegram

Dois pacotes maliciosos no RubyGems se passaram por clones do legítimo fastlane-plugin-telegram, usado para enviar notificações via Telegram em pipelines CI/CD. O ataque, atribuído a um agente com pseudônimos como Bùi nam e si_mobile, surgiu logo após a proibição do Telegram no Vietnã — uma possível tentativa de disfarçar a funcionalidade espiã como uma solução alternativa.

Esses pacotes interceptavam todos os dados enviados à API do Telegram, incluindo tokens de bot, IDs de chat e arquivos anexados, redirecionando-os para um servidor C2 (rough-breeze-0c37.buidanhnam95.workers.dev) controlado pelo invasor. A tática mostra como eventos geopolíticos podem ser usados como vetor para campanhas de comprometimento.

“Esta campanha ilustra a rapidez com que os agentes de ameaças podem explorar eventos geopolíticos para lançar ataques direcionados à cadeia de suprimentos”, explicou Kirill Boychenko, pesquisador da Socket.

npm: pacotes deletam projetos e drenam carteiras cripto

O npm também foi palco de ameaças graves. O pacote xlsx-to-json-lh, um typosquat do legítimo xlsx-to-json-lc, continha uma carga maliciosa que, ao ser ativada, conectava-se a um servidor remoto e podia apagar diretórios inteiros de um projeto.

O comando de destruição era disparado com a frase francesa “remise à zéro”, levando à exclusão de arquivos de código-fonte, dados de controle de versão, dependências e até os próprios ativos do projeto.

Além disso, outro grupo de pacotes com nomes como pancake_uniswap_validators_utils_snipe e pancakeswap-oracle-prediction foi identificado desviando entre 80% e 85% dos fundos de carteiras Ethereum e BSC, usando código JavaScript ofuscado. Esses pacotes acumulavam mais de 2.100 downloads antes de serem removidos.

PyPI: malware voltado para usuários de Solana

No repositório PyPI, foram encontrados pacotes que miravam usuários de criptomoedas Solana. O pacote semantic-types, inicialmente inofensivo, recebeu uma atualização maliciosa semanas após sua publicação. Essa nova versão incluía código para exfiltrar chaves privadas, arquivos sensíveis e códigos-fonte, evidenciando a prática de “ataques de atualização tardia”.

Essa tática torna a detecção ainda mais difícil, pois o pacote já havia ganhado certa credibilidade na comunidade antes de ser comprometido.

O que está em risco e como se proteger

A nova onda de ataques demonstra que a confiança cega em repositórios open source pode ser fatal. Pacotes maliciosos estão sendo elaborados para parecer legítimos, aproveitando-se de ferramentas amplamente utilizadas por desenvolvedores e empresas em seus ambientes de DevOps e CI/CD.

Desenvolvedores devem:

  • Verificar a autenticidade dos pacotes antes de instalá-los.
  • Usar ferramentas de análise estática e sandbox para detectar comportamentos anômalos.
  • Monitorar atualizações de segurança e relatórios de ameaças sobre bibliotecas utilizadas.
  • Empregar soluções de segurança voltadas para a cadeia de suprimentos de software.

Conclusão

A diversidade e a sofisticação dos pacotes maliciosos revelados indicam uma intensificação nos ataques à infraestrutura de desenvolvimento de software. Ecossistemas como PyPI, npm e RubyGems continuam sendo alvos valiosos para agentes mal-intencionados, exigindo vigilância constante e medidas proativas de segurança por parte da comunidade open source.

TAGGED:
Compartilhe este artigo
Artigo anterior imagem de hacker Hacker usa repositórios do GitHub para atacar outros hackers e jogadores
Próximo artigo Tecnologia BOE BOE processa Samsung por uso indevido de patentes de telas OLED
Inteligência Artificial

Dê Vida à Sua Imaginação com o Melhor Gerador de Personagens IA Online

vRepnhU3 de vida a sua imaginacao com o melhor gerador de personagens ia online

Você já sonhou em criar o personagem perfeito para o seu jogo, HQ, livro ou apenas para se divertir? Agora isso é possível com apenas alguns cliques, graças ao Gerador…

Por Redação SempreUpdate

Leia também

Posts sobre o mesmo assunto