CibersegurançaNotícias

Pacotes npm maliciosos espalham RATs em Windows e Linux

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Seguir
npm

Novos pacotes npm falsos distribuem malware para Windows e Linux e ameaçam desenvolvedores.

Os pacotes npm maliciosos continuam sendo uma das maiores ameaças à cadeia de suprimentos de software moderna. Uma nova série de campanhas identificadas por pesquisadores de segurança revelou como criminosos estão explorando a confiança dos desenvolvedores em bibliotecas populares para distribuir malware capaz de comprometer sistemas Windows e Linux, roubar credenciais e manter acesso persistente às máquinas infectadas.

As descobertas, divulgadas por especialistas da JFrog e da SafeDep, mostram uma evolução preocupante nas técnicas utilizadas pelos invasores. Além da tradicional falsificação de pacotes populares do ecossistema npm, os operadores dessas campanhas passaram a imitar projetos ligados ao universo do Google, ferramentas de desenvolvimento e até plataformas de inteligência artificial para aumentar suas taxas de infecção.

O caso reforça um problema crescente no universo open source: os ataques à cadeia de suprimentos. Nesse tipo de ataque, o alvo não é diretamente o usuário final, mas sim as dependências e ferramentas utilizadas durante o desenvolvimento de software. Quando um pacote comprometido é instalado, ele pode abrir caminho para a execução de códigos maliciosos dentro de ambientes corporativos e pessoais.

Alerta no ecossistema npm: O ataque disfarçado de PostCSS

Uma das campanhas mais recentes envolvendo pacotes npm maliciosos explorou a popularidade do ecossistema PostCSS, amplamente utilizado em projetos web modernos.

Os pesquisadores identificaram pacotes como aes-decode-runner-pro, postcss-minify-selector e postcss-minify-selector-parser, criados para se passarem por componentes legítimos relacionados ao conhecido pacote postcss-selector-parser.

A estratégia é simples, mas extremamente eficaz. Muitos desenvolvedores instalam bibliotecas rapidamente durante testes, atualizações ou automações de CI/CD. Em meio a milhares de dependências disponíveis no npm, um nome semelhante ao de um projeto legítimo pode passar despercebido.

Ao serem instalados, esses pacotes executam código malicioso oculto que inicia uma cadeia complexa de infecção, projetada para dificultar a detecção por soluções tradicionais de segurança.

Imagem malware BeaverTail em pacotes npm

Como o malware opera no Windows

A cadeia de infecção observada pelos pesquisadores demonstra um nível elevado de sofisticação.

Inicialmente, um script em JavaScript é executado durante a instalação do pacote. Esse script aciona comandos do PowerShell, que por sua vez baixam um arquivo compactado hospedado remotamente.

Após o download, o malware utiliza um VBScript para iniciar componentes adicionais da infecção. Entre eles está um executável desenvolvido em Python e posteriormente compilado com Nuitka, técnica que dificulta análises forenses e mecanismos tradicionais de detecção.

O objetivo dessa cadeia é estabelecer uma infecção persistente sem despertar suspeitas imediatas do usuário ou dos administradores de sistema.

A utilização de múltiplas camadas de execução também ajuda os criminosos a contornar filtros de segurança e ferramentas de monitoramento comportamental.

O que o RAT rouba

Após a infecção, o malware instala um RAT (Remote Access Trojan) capaz de fornecer controle remoto sobre o sistema comprometido.

Entre as capacidades observadas estão:

  • Roubo de credenciais armazenadas no Google Chrome
  • Coleta de cookies de sessão
  • Extração de tokens de autenticação
  • Captura de informações do sistema
  • Execução remota de comandos
  • Download de cargas maliciosas adicionais

Os pesquisadores destacam ainda mecanismos projetados para contornar proteções modernas do navegador, incluindo técnicas relacionadas ao sistema de criptografia ABE (App-Bound Encryption) implementado pelo Chrome para proteger dados sensíveis.

Uma vez concluída a coleta de informações, os dados são enviados para servidores de comando e controle (C2) operados pelos invasores.

Ameaça ao Linux e roubo de credenciais de IA

Se durante muito tempo campanhas desse tipo focaram principalmente o Windows, os novos ataques demonstram uma mudança importante de cenário.

Os pesquisadores identificaram o pacote apintergrationpost, utilizado para distribuir o malware MYRA, desenvolvido especificamente para sistemas Linux.

O caso chama atenção porque o Linux é amplamente utilizado em servidores, ambientes de desenvolvimento, containers e infraestruturas de nuvem.

Diferentemente de ameaças mais simples, o MYRA apresenta características normalmente associadas a operações avançadas de espionagem digital.

Entre suas capacidades estão:

  • Persistência avançada
  • Execução de comandos remotos
  • Coleta de informações do sistema
  • Movimentação lateral
  • Técnicas semelhantes às de rootkits
  • Ocultação de processos maliciosos

Esses recursos permitem que invasores permaneçam ativos por longos períodos sem serem detectados.

Para equipes DevOps e administradores de sistemas Linux, o alerta é especialmente relevante, pois muitas dessas máquinas possuem acesso privilegiado a ambientes corporativos críticos.

Falsa ferramenta do Google visa Claude Code e chaves SSH

Outra campanha descoberta pela SafeDep explorou a reputação do Google para atrair vítimas.

Os criminosos publicaram um pacote chamado @withgoogle/stitch-sdk, simulando uma ferramenta relacionada ao projeto Stitch.

O objetivo era convencer desenvolvedores de que estavam instalando um SDK legítimo.

Na prática, o pacote continha funcionalidades voltadas ao roubo de credenciais altamente valiosas.

Entre os alvos identificados estavam:

  • Chaves SSH
  • Credenciais Git
  • Tokens de acesso
  • Dados de ambientes de desenvolvimento
  • Configurações de ferramentas de IA
  • Credenciais associadas ao Claude Code

A inclusão de ferramentas de inteligência artificial entre os alvos mostra uma nova tendência do cibercrime. Com o crescimento do uso de assistentes de programação, plataformas de IA passaram a armazenar informações sensíveis capazes de fornecer acesso a repositórios, pipelines e ambientes corporativos.

Para os atacantes, essas credenciais podem ser tão valiosas quanto senhas tradicionais.

Inovação cibercriminosa: Blockchain e espaços em branco

As campanhas recentes mostram que os operadores de malware estão inovando constantemente para escapar de mecanismos de detecção.

Um exemplo disso aparece nas operações associadas ao malware PolinRider e à família BeaverTail.

Os pesquisadores observaram o uso da blockchain Tron como parte da infraestrutura de comando e controle.

Em vez de armazenar diretamente os endereços dos servidores maliciosos dentro do código, os operadores registram informações na blockchain. Dessa forma, o malware consulta os dados distribuídos e obtém instruções atualizadas sem depender de uma infraestrutura centralizada tradicional.

Essa técnica dificulta o bloqueio das operações e aumenta a resiliência da campanha.

Outra estratégia observada envolve o uso abusivo de espaços em branco, caracteres invisíveis e técnicas de ofuscação dentro do código-fonte dos pacotes npm.

Esses recursos tornam a análise manual mais difícil e ajudam a esconder funções maliciosas durante inspeções superficiais.

O resultado é um cenário em que identificar ameaças exige cada vez mais ferramentas automatizadas de análise e monitoramento contínuo.

Como desenvolvedores podem se proteger dos pacotes npm maliciosos

O crescimento dos pacotes npm maliciosos reforça a necessidade de uma postura mais cuidadosa na gestão de dependências.

Embora não exista proteção absoluta, algumas medidas reduzem significativamente os riscos.

Antes de instalar qualquer pacote, verifique:

  • Número de downloads
  • Histórico do mantenedor
  • Data de publicação
  • Repositório oficial
  • Documentação disponível
  • Atividade da comunidade

Também é recomendável revisar periodicamente o arquivo package.json e remover dependências desnecessárias.

Caso algum dos pacotes citados tenha sido instalado, especialistas recomendam:

  1. Remover imediatamente o pacote comprometido
  2. Executar uma análise completa do sistema
  3. Rotacionar senhas e tokens de acesso
  4. Substituir chaves SSH potencialmente expostas
  5. Verificar acessos suspeitos em serviços conectados
  6. Monitorar atividades incomuns nos repositórios

Além disso, organizações devem investir em soluções de SCA (Software Composition Analysis), capazes de identificar dependências vulneráveis ou maliciosas antes que elas sejam incorporadas ao ambiente de desenvolvimento.

O episódio serve como mais um lembrete de que a segurança no desenvolvimento moderno não depende apenas da qualidade do código produzido internamente. Em um cenário dominado por bibliotecas de terceiros, proteger a cadeia de suprimentos tornou-se uma responsabilidade essencial para desenvolvedores, equipes DevOps e empresas de tecnologia.

TAGS:
Compartilhe este artigo
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Seguir
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.

Leia também

Posts sobre o mesmo assunto