Pesquisadores de segurança identificaram uma nova operação de ataque à cadeia de suprimentos envolvendo o ecossistema do Node.js. Nesse caso, invasores associados à Coreia do Norte disponibilizaram 26 pacotes maliciosos no repositório npm com o objetivo de comprometer computadores de desenvolvedores.
Esses módulos foram apresentados como bibliotecas legítimas. Entretanto, na prática, o código escondia funcionalidades capazes de instalar malware e permitir o controle remoto das máquinas infectadas.
- Leia também: Ataques DDoS Explicados: Impactos, Ferramentas e Mitigação
- Leia também: DNS Flood: o que é esse ataque DDoS e como ele derruba sites
- Leia também: O que é uma Botnet de DDoS? entenda como funcionam os ataques
Pacotes falsos miram desenvolvedores e projetos reais
De acordo com a investigação, os pacotes foram projetados para parecer ferramentas úteis dentro de projetos JavaScript. Assim que um desenvolvedor instala a dependência em seu ambiente, o código malicioso começa a ser executado.
Esse método explora um ponto crítico do desenvolvimento moderno. Atualmente, aplicações dependem de diversas bibliotecas externas. Como resultado, basta comprometer um único pacote para atingir múltiplos projetos ao mesmo tempo.
Esse tipo de técnica é conhecido como ataque de supply chain de software.
Além disso, os pacotes se disfarçam de ferramentas de desenvolvedor, mas contêm funcionalidades para extrair o verdadeiro servidor de comando e controle (C2). Para isso, utilizam conteúdo aparentemente inofensivo do Pastebin como um servidor de entrega oculta, com o objetivo final de instalar um ladrão de credenciais e um trojan de acesso remoto direcionado a desenvolvedores.
A infraestrutura de C2 está hospedada na Vercel em 31 implantações.
A campanha, monitorada pela Socket e por Kieran Miyamoto da kmsec.uk, está sendo rastreada sob o pseudônimo StegaBin. Ela é atribuída a um grupo de ameaças norte-coreano conhecido como Famous Chollima.
Segundo os pesquisadores da Socket, o carregador extrai URLs de C2 codificadas esteganograficamente em colagens publicadas no Pastebin.
Lista dos pacotes npm maliciosos identificados
- argonista@0.41.0
- bcryptance@6.5.2
- abelha-quarl@2.1.2
- bubble-core@6.26.2
- corstoken@2.14.7
- daytonjs@1.11.20
- ether-lint@5.9.4
- expressjs-lint@5.3.2
- fastify-lint@5.8.0
- formmiderable@3.5.7
- hapi-lint@19.1.2
- iosysredis@5.13.2
- jslint-config@10.22.2
- jsnwebapptoken@8.40.2
- kafkajs-lint@2.21.3
- loadash-lint@4.17.24
- mqttoken@5.40.2
- prism-lint@7.4.2
- promanage@6.0.21
- sequelization@6.40.2
- typoriem@0.4.17
- undicy-lint@7.23.1
- uuindex@13.1.0
- vitetest-lint@4.1.21
- windowston@3.19.2
- zoddle@4.4.2
Todos os pacotes identificados possuem um script de instalação chamado install.js, executado automaticamente durante a instalação. Esse script roda o payload malicioso localizado em vendor/scrypt-js/version.js.
Outro detalhe importante é que todos declaram explicitamente o pacote legítimo que estão imitando como dependência. Essa técnica é conhecida como typosquatting, usada para aumentar a credibilidade dos pacotes.
Como funciona o ataque
A carga útil funciona como um decodificador de esteganografia em texto. Primeiro, ela acessa um conteúdo hospedado no Pastebin. Em seguida, analisa caracteres específicos posicionados ao longo do texto para montar os domínios reais dos servidores C2.
O processo inclui:
- remoção de caracteres Unicode invisíveis
- leitura de um marcador de comprimento no início do texto
- cálculo de posições específicas de caracteres
- reconstrução dos domínios de comando e controle
Depois disso, os domínios extraídos são usados para baixar novos componentes maliciosos.
Trojan multiplataforma e roubo de dados
Após estabelecer comunicação com a infraestrutura dos atacantes, o malware baixa payloads específicos para:
- Windows
- macOS
- Linux
Um dos domínios identificados foi ext-checkdin.vercel[.]app, que distribui scripts responsáveis por instalar um RAT (Remote Access Trojan).
Com isso, os criminosos conseguem:
- coletar credenciais armazenadas
- monitorar atividades do sistema
- executar comandos remotamente
- instalar novos módulos maliciosos
Além disso, o malware possui diversos módulos especializados em roubo de dados.
Entre as capacidades observadas estão:
- persistência no Visual Studio Code
- keylogger e captura de área de transferência
- roubo de credenciais de navegadores
- exfiltração de chaves SSH
- varredura de segredos com TruffleHog
- acesso a repositórios Git
Infraestrutura de controle escondida no Pastebin
Um detalhe técnico chamou a atenção dos pesquisadores. O malware não se conecta diretamente ao servidor de comando dos invasores.
Em vez disso, ele consulta conteúdos aparentemente inofensivos hospedados no Pastebin. Dentro dessas publicações existe informação escondida que revela o endereço real da infraestrutura de comando e controle.
Essa estratégia funciona como um dead drop resolver. Assim, ela dificulta a detecção da campanha e permite que os operadores alterem rapidamente sua infraestrutura sem modificar o código principal.
Parte de uma campanha maior contra desenvolvedores
Os pesquisadores associam essa atividade a operações anteriores atribuídas a grupos patrocinados pelo Estado norte-coreano.
Essas campanhas costumam focar especialmente em:
- desenvolvedores
- empresas de tecnologia
- projetos ligados ao setor de criptomoedas
Além disso, os criminosos utilizam técnicas de engenharia social. Frequentemente criam bibliotecas falsas, projetos aparentemente úteis ou até testes técnicos de entrevistas de emprego.
Dessa forma, induzem as vítimas a instalar o código malicioso.
Uma vez dentro do ambiente de desenvolvimento, o malware pode se espalhar para outros projetos e sistemas.
Riscos para o ecossistema open source
O incidente reforça um problema crescente no mundo do software. O modelo aberto do npm permite colaboração em larga escala, porém também cria oportunidades para abusos.
Quando pacotes maliciosos são publicados, eles podem ser incorporados rapidamente em aplicações reais.
Por isso, especialistas recomendam:
- verificar dependências com frequência
- monitorar comportamento de bibliotecas
- utilizar ferramentas de análise de segurança
- revisar regularmente os pacotes instalados
A descoberta desses 26 pacotes maliciosos mostra como ataques à cadeia de suprimentos continuam evoluindo.
Ao mirar diretamente o ecossistema npm, os invasores conseguem atingir desenvolvedores e empresas de forma indireta.
Portanto, adotar práticas rigorosas de segurança ao utilizar bibliotecas externas se tornou essencial para reduzir riscos e proteger projetos.
Fonte: The Hacker News —https://thehackernews.com/2026/03/north-korean-hackers-publish-26-npm.html
