A recente onda de ataques conhecida como SANDWORM_MODE tem colocado a comunidade de desenvolvimento em alerta. Evoluindo de campanhas anteriores como Shai-Hulud, essa nova ameaça explora pacotes npm maliciosos e a injeção de código em IAs de codificação, visando roubar segredos de CI/CD, chaves de API e informações sensíveis armazenadas em servidores MCP. Desenvolvedores e profissionais de DevOps precisam estar atentos, pois a propagação desses malwares ocorre de forma silenciosa, mas com potencial de impacto devastador em projetos corporativos e open-source.
A complexidade do ataque é maior do que nos incidentes tradicionais. Ele combina a familiaridade dos pacotes npm com a sofisticação de modelos de IA, permitindo que scripts maliciosos sejam executados automaticamente durante o desenvolvimento e testes. Entender como esses ataques funcionam é essencial para manter a segurança no npm e proteger dados críticos.
Como o ataque funciona
O SANDWORM_MODE se propaga principalmente através de pacotes npm maliciosos hospedados em repositórios confiáveis, muitas vezes mascarados como dependências legítimas. A instalação desses pacotes em projetos JavaScript ou Node.js ativa scripts que coletam informações do sistema, variáveis de ambiente e tokens de autenticação. Além disso, o malware verifica se o ambiente possui integração com servidores MCP e ferramentas de IA de codificação, adaptando seu comportamento para extrair dados específicos sem levantar suspeitas imediatas.
Uma vez instalado, o malware também busca expandir seu alcance clonando repositórios internos ou criando commits maliciosos que são automaticamente processados por pipelines de CI/CD, aumentando exponencialmente o risco de vazamento de segredos.
O papel da IA e do servidor MCP
O ataque ganha uma camada extra de sofisticação quando envolve IAs de codificação como Claude, Cursor e Windsurf. O malware é capaz de injetar prompts maliciosos ou scripts de coleta diretamente nesses modelos, transformando cada interação de desenvolvimento em uma oportunidade de exfiltração de dados. Servidores MCP, frequentemente usados para integração contínua e hospedagem de serviços internos, são explorados para facilitar a persistência e camuflar a comunicação com o servidor do atacante.
Polimorfismo com DeepSeek
Para evitar detecção por antivírus ou scanners de dependências, o SANDWORM_MODE utiliza técnicas de polimorfismo com DeepSeek Coder, operando localmente através do Ollama. Isso permite que o malware modifique seu código dinamicamente em cada instalação, tornando difícil a identificação por assinaturas tradicionais. O comportamento polimórfico garante que mesmo pacotes aparentemente inofensivos possam se tornar veículos de ataque conforme são distribuídos.
Lista de pacotes infectados e alvos
Alguns dos pacotes npm maliciosos identificados incluem: claud-code, veim, deepseek-helper, windsurf-sdk e cursor-tools. As ferramentas mais afetadas são IDEs e extensions de IA de codificação, incluindo integrações com VS Code, Claude Code e ambientes que utilizam pipelines de CI/CD automatizados. Esses alvos foram escolhidos por sua capacidade de processar código de forma automática, amplificando o risco de vazamento de segredos.
Além do npm: ataques via extensões do VS Code e plugins ESLint
O alcance do SANDWORM_MODE não se limita ao npm. Extensões maliciosas do VS Code, como solid281, e plugins de ESLint, como eslint-verify-plugin, também foram identificados como vetores de ataque. Essas extensões se instalam silenciosamente em ambientes de desenvolvimento, permitindo que o malware execute scripts maliciosos durante a análise estática do código ou enquanto o desenvolvedor interage com o editor.
Como se proteger e mitigar danos
A proteção contra pacotes npm maliciosos e injeção em IAs de codificação exige uma abordagem multifacetada. Algumas medidas essenciais incluem:
- Auditoria de dependências: verificar regularmente as versões dos pacotes npm e remover pacotes não confiáveis ou abandonados.
- Rotação de chaves e tokens: alterar periodicamente chaves de API, credenciais de CI/CD e variáveis sensíveis.
- Monitoramento de rede e logs: detectar tráfego suspeito de comunicação com servidores externos ou MCP.
- Isolamento de ambientes de desenvolvimento: executar IDEs e ferramentas de IA em contêineres ou máquinas virtuais com permissões restritas.
- Varredura de código polimórfico: utilizar ferramentas capazes de identificar alterações dinâmicas e comportamentos anômalos, como o DeepSeek.
- Atualização contínua de extensões e plugins: evitar versões desatualizadas de VS Code e ESLint, pois pacotes antigos são mais suscetíveis a exploração.
Conclusão: o futuro da segurança na era da IA
A ascensão do SANDWORM_MODE demonstra que o cenário de ameaças evoluiu além do software tradicional. A integração de IAs de codificação em fluxos de desenvolvimento aumenta o risco de vazamento de segredos, exigindo que equipes de segurança da informação e desenvolvedores adotem vigilância constante. Medidas preventivas, auditoria rigorosa de dependências e monitoramento de atividades em servidores MCP são essenciais para proteger projetos e dados sensíveis.
O desafio é claro: a era da IA trouxe eficiência para o desenvolvimento, mas também criou novas oportunidades para agentes maliciosos. A segurança no npm e a proteção de IAs de codificação se tornaram imperativos estratégicos, e a conscientização contínua é a melhor defesa contra ameaças sofisticadas como o SANDWORM_MODE.
