Cibersegurança

Malware em pacotes npm compromete cadeia de suprimentos global

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Código malicioso em pacotes npm compromete cadeia de suprimentos global

Malware em pacotes npm ameaça cadeia de suprimentos global e compromete milhões de sistemas

Uma nova operação de malware focada na cadeia de suprimentos está comprometendo ecossistemas de software abertos como npm e PyPI, afetando milhões de desenvolvedores e usuários no mundo inteiro. A campanha, que explora pacotes populares ligados ao GlueStack e outras bibliotecas amplamente utilizadas, reacende o alerta para a fragilidade dos repositórios públicos de código aberto.

Conteúdo

Malware em pacotes npm e PyPI compromete cadeia de suprimentos global

Bibliotecas maliciosas npm

Ataques direcionados a bibliotecas populares

A Palavra-chave de Foco deste alerta é malware em pacotes npm. A ameaça foi detectada pela Aikido Security, que identificou um código malicioso injetado no arquivo lib/commonjs/index.js de diversos pacotes npm e PyPI. Entre as funções do malware estão a execução remota de comandos, captura de telas e exfiltração de arquivos das máquinas comprometidas.

Esses pacotes, amplamente utilizados em projetos frontend com React Native e na plataforma GlueStack, somam aproximadamente 1 milhão de downloads semanais. O comprometimento inicial foi registrado em 6 de junho de 2025, às 21h33 GMT, marcando o início de uma campanha cuidadosamente orquestrada.

Lista de pacotes comprometidos

Dentre os pacotes afetados, destacam-se:

  • @gluestack-ui/utils versões 0.1.16 e 0.1.17
  • @react-native-aria/button, checkbox, combobox, focus, slider, entre outros

A maioria desses pacotes apresenta um número significativo de downloads, com destaque para @react-native-aria/focus com 951 downloads semanais e @react-native-aria/overlay com 751 downloads.

Técnica e persistência da ameaça

O código injetado se assemelha ao usado em outro ataque recente que explorou o pacote rand-user-agent, indicando uma possível conexão entre os agentes maliciosos por trás das campanhas. O trojan agora inclui novos comandos, como ss_info e ss_ip, que permitem ao invasor obter informações do sistema e o IP público da máquina infectada.

Segundo a Aikido Security, o mecanismo de persistência do malware permite que o controle da máquina seja mantido mesmo após a atualização dos pacotes, ampliando os danos e dificultando a mitigação.

Pacotes destrutivos mascarados de ferramentas legítimas

Além do ataque ao GlueStack, outra frente de ameaça foi identificada pelo Socket, envolvendo dois pacotes npm — express-api-sync e system-health-sync-api. Disfarçados como utilitários para sincronização de dados e monitoramento de sistema, os pacotes agem como limpadores (wipers), deletando diretórios inteiros ao receber comandos remotos.

O express-api-sync, por exemplo, executa o comando perigoso rm -rf * quando uma requisição HTTP com a chave DEFAULT_123 é recebida. Já o system-health-sync-api é ainda mais sofisticado, atuando como ladrão de informações, limpador e backdoor, adaptando seu comportamento conforme o sistema operacional — Windows ou Linux.

Ambos foram publicados por um autor com o e-mail anupm019@gmail[.]com e chegaram a ser baixados quase 1.000 vezes antes da remoção. O system-health-sync-api usa um canal secreto via SMTP para exfiltrar dados, burlando firewalls corporativos e explorando a permissão para envio de e-mails de saída.

Reações e medidas recomendadas

Os mantenedores dos pacotes afetados agiram revogando os tokens de acesso e marcando as versões maliciosas como obsoletas. No entanto, especialistas alertam que isso não é suficiente para eliminar a ameaça, dada a persistência do código malicioso e sua capacidade de executar comandos mesmo após atualizações.

É recomendável que desenvolvedores revisem imediatamente os projetos que dependem das bibliotecas afetadas e façam downgrade para versões seguras ou removam completamente os pacotes até que uma auditoria seja feita.

Conclusão: Um novo alerta para o open source

O ataque reforça um problema recorrente e crescente na comunidade de código aberto: a fragilidade da cadeia de suprimentos de software. A confiança cega em bibliotecas externas sem verificação de integridade pode colocar em risco aplicações, empresas e usuários.

Com o uso malicioso de ferramentas como npm e PyPI, é cada vez mais urgente que desenvolvedores adotem práticas de segurança rigorosas, como a auditoria de dependências, o uso de scanners automatizados e a limitação de permissões em ambientes de produção.

TAGGED:
Compartilhe este artigo
Artigo anterior Imagem com a logomarca do Tuner Instale o Tuner, um controle do sistema, no Ubuntu, Fedora, Debian e outras distribuições Linux com Flatpak
Próximo artigo Dispositivos DVR TBK vulneráveis explorados por botnet Mirai através da falha CVE-2024-3721 Botnet Mirai explora falha CVE-2024-3721 em DVRs TBK
Distribuições

KDE Plasma 6.4 à vista: estabilidade, usabilidade e desempenho no próximo grande lançamento

interface do KDE Plasma 6.4 no ambiente desktop Linux

Descubra as principais melhorias de usabilidade, correções de bugs e otimizações de desempenho que estão chegando no KDE Plasma 6.4, e as novidades do 6.5.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto