Pesquisadores de segurança descobriram uma nova campanha que compromete a cadeia de suprimentos de software. Dessa vez, criminosos publicaram pacotes maliciosos no repositório npm com o objetivo de roubar informações sensíveis de ambientes de desenvolvimento.
Esses pacotes coletam dados como chaves de criptomoedas, tokens de autenticação e segredos usados em sistemas internos. Como resultado, desenvolvedores e empresas podem ter contas e projetos comprometidos.
- Leia também: Senhas geradas por IA são inseguras? estudo revela falhas graves de segurança
- Leia também: Organização empresarial: como criar contas de e-mail para cada setor da sua empresa.
- Leia também: Segurança de e-mail: como combatemos Spam e Phishing nos nossos servidores.
Campanha funciona como um “worm” de supply chain
Especialistas identificaram um comportamento incomum nessa operação. O ataque consegue se espalhar usando credenciais roubadas, o que lembra o funcionamento de um worm.
Por esse motivo, pesquisadores da empresa de segurança Socket chamaram a campanha de SANDWORM_MODE.
Além disso, a investigação encontrou pelo menos 19 pacotes maliciosos publicados no npm. Cada um deles contém código criado para capturar dados do ambiente do desenvolvedor. Em seguida, essas informações são enviadas para os operadores do ataque.
Informações sensíveis são o principal alvo
Depois que alguém instala um desses pacotes, o código inicia a coleta de dados automaticamente. Entre os principais alvos estão:
- chaves privadas de criptomoedas
- tokens de autenticação
- variáveis de ambiente com segredos
- credenciais usadas em pipelines de CI
- chaves de API ligadas a serviços e ferramentas de IA
Além disso, o malware também coleta detalhes sobre o sistema utilizado no desenvolvimento. Assim, os invasores conseguem entender melhor o ambiente da vítima.
Credenciais roubadas ajudam o ataque a se espalhar
Os responsáveis pela campanha utilizam contas comprometidas do npm e do GitHub. Dessa forma, eles ampliam o alcance da operação.
Primeiro, os criminosos obtêm credenciais válidas. Depois, publicam novos pacotes ou modificam projetos existentes. Consequentemente, o código malicioso alcança mais desenvolvedores.
Esse método aumenta o impacto do ataque e dificulta a contenção.
Estratégia lembra campanhas anteriores
Segundo os pesquisadores, essa atividade apresenta semelhanças com ataques ligados ao malware Shai-Hulud. Naquele caso, criminosos também exploraram dependências comprometidas.
Ataques desse tipo funcionam porque o ecossistema moderno depende muito de bibliotecas externas. Portanto, quando uma dependência é comprometida, vários projetos podem ser afetados ao mesmo tempo.
Dependências se tornaram um novo vetor de ataque
Atualmente, milhares de projetos utilizam pacotes de código aberto. Por um lado, isso acelera o desenvolvimento. Por outro, aumenta a superfície de ataque.
Quando ferramentas automatizadas instalam dependências sem análise detalhada, o código malicioso pode rodar imediatamente. Em muitos casos, isso acontece dentro de ambientes de desenvolvimento ou pipelines de CI/CD.
Assim, os invasores conseguem acesso a informações extremamente sensíveis.
Impactos podem atingir empresas inteiras
Se um projeto utiliza um desses pacotes infectados, várias consequências podem ocorrer. Por exemplo:
- acesso a repositórios privados
- roubo de credenciais internas
- exposição de tokens de serviços online
- comprometimento de chaves de criptomoedas
Além disso, os atacantes podem usar essas informações em ataques posteriores. Em situações mais graves, eles conseguem comprometer softwares distribuídos para usuários finais.
Fonte: The Hacker News — https://thehackernews.com/2026/02/malicious-npm-packages-harvest-crypto.html
