O NPM, maior registro de pacotes de software do mundo e base do ecossistema JavaScript, está novamente no centro de uma campanha sofisticada de ataque. Uma nova leva de pacotes maliciosos NPM foi descoberta, utilizando uma técnica avançada de camuflagem, conhecida como cloaking, para enganar desenvolvedores e driblar pesquisadores de segurança.
Pesquisadores da Socket identificaram sete pacotes, seis deles abertamente maliciosos, todos publicados pelo mesmo desenvolvedor, identificado como dino_reborn. Este artigo explica em detalhes como a campanha opera, qual é o seu objetivo final e, principalmente, como você pode se proteger contra mais um ataque envolvendo a segurança NPM.
O propósito dos invasores é claro, conduzir usuários desavisados a sites fraudulentos de criptomoedas. A novidade desta campanha é o uso indevido do serviço legítimo Adspect, que funciona como filtro de tráfego, permitindo aos criminosos separar pesquisadores de vítimas reais.
O que é este novo ataque no NPM?
A análise revela que os pacotes foram publicados entre setembro e novembro de 2025, todos alinhados a uma mesma infraestrutura de ataque e projetados para ativar o redirecionamento malicioso assim que importados ou executados em ambientes vulneráveis.
Os pacotes maliciosos identificados
Os pesquisadores listaram seis pacotes NPM claramente maliciosos, todos destacados aqui em negrito para facilitar a identificação, dsidospsodlks, applicationooks21, aplicação-phskck, integrator-filescrypt2025, integrator-2829 e integrator-2830.
Há ainda um sétimo pacote, signals-embed, que não contém código diretamente nocivo, porém está vinculado à mesma campanha, sendo utilizado como parte da estrutura que compõe a página web fraudulenta exibida às vítimas.
O objetivo final, golpes de criptomoedas
Uma vez carregado o código, a vítima é levada a uma página falsa de CAPTCHA contendo logos de Ethereum ou Solana, reforçando a sensação de legitimidade. Em seguida, a pessoa é redirecionada automaticamente para o site do golpe, que abre em uma nova aba para simular comportamento legítimo. Todo o mecanismo é construído para impedir que analistas de segurança alcancem o conteúdo final da fraude.
Como funciona a técnica de ‘cloaking’ com o Adspect
A técnica de cloaking, ou camuflagem, consiste em mostrar conteúdos diferentes para grupos distintos de visitantes. Normalmente é usada por criadores de sites que desejam evitar tráfego inválido em campanhas de anúncios, mas neste caso o processo foi adaptado para uma finalidade completamente maliciosa.
Com o cloaking empregado nos pacotes maliciosos NPM, o usuário comum é direcionado ao golpe enquanto pesquisadores de segurança visualizam apenas uma página inofensiva, dificultando a investigação e atrasando a detecção da ameaça.
O papel do Adspect, de filtro legítimo a ferramenta de ataque
O Adspect é um serviço de nuvem usado para filtrar acessos suspeitos em campanhas de anúncios, analisando elementos como IP, idioma, user agent e origem geográfica. Invasores passaram a usar a API do Adspect para enviar os dados de cada visitante que interage com o código malicioso.
Caso o Adspect identifique que o visitante parece ser um bot, um pesquisador de segurança ou alguém usando um IP de data center, é exibido apenas um site aparentemente legítimo, associado a uma empresa falsa chamada Offlido. Se o visitante for classificado como uma vítima real, ocorre automaticamente o redirecionamento para o golpe de criptomoedas, sem alertar o usuário.
Mecanismos anti análise para dificultar a investigação
Os pacotes incluem ainda um script de aproximadamente 39 kB contendo diversos mecanismos anti análise. O código bloqueia o clique com o botão direito e impede o uso de atalhos como F12, Ctrl+U e Ctrl+Shift+I, dificultando o acesso às ferramentas de desenvolvedor do navegador.
Além disso, toda a lógica maliciosa é executada automaticamente assim que a página é carregada, graças ao uso de uma IIFE, sigla para Immediately Invoked Function Expression, que permite rodar funções de forma imediata sem interação do usuário.
Você está em risco? Como se proteger desta ameaça
Embora a campanha tenha sido detectada rapidamente, o risco permanece significativo, especialmente para desenvolvedores que instalam pacotes novos com frequência. A seguir estão medidas práticas recomendadas para reduzir o risco de ataques envolvendo pacotes NPM com vírus.
Audite suas dependências agora
É fundamental revisar com atenção seus arquivos package.json e package-lock.json em busca de qualquer um dos pacotes listados.
O uso regular do comando npm audit é indispensável para verificar vulnerabilidades conhecidas e manter a segurança da cadeia de dependências de qualquer projeto.
Desconfie de pacotes novos ou desconhecidos
Antes de instalar um pacote, verifique o histórico do publicador e observe nomes estranhos, combinações de letras aleatórias ou pacotes recém publicados sem documentação clara. A conta dino_reborn, por exemplo, já é associada diretamente a este ataque NPM.
Ao trabalhar com dependências JavaScript, desconfie de publicadores novos demais e observe comentários da comunidade quando disponíveis.
A importância da segurança na cadeia de suprimentos
Ataques de supply chain estão se tornando cada vez mais comuns e são um dos maiores desafios enfrentados por desenvolvedores e equipes de DevOps. A segurança NPM não é responsabilidade apenas da plataforma, é uma tarefa compartilhada entre desenvolvedores, mantenedores e empresas.
Conclusão, A sofisticação crescente dos ataques ao NPM
A campanha envolvendo os pacotes maliciosos NPM marca um novo nível de complexidade, já que transforma uma ferramenta legítima de marketing em uma arma altamente eficaz para golpes de criptomoedas. A combinação de cloaking, Adspect e mecanismos anti análise mostra que os atacantes estão elevando o nível e investindo em técnicas mais difíceis de detectar.
A segurança da cadeia de suprimentos de software é um dos maiores desafios de 2025, portanto sua vigilância é essencial. Você já encontrou pacotes suspeitos em seus projetos? Compartilhe suas práticas de auditoria e segurança nos comentários e ajude a fortalecer a comunidade.
