Pesquisadores de segurança cibernética identificaram um novo conjunto de pacotes npm maliciosos projetados especificamente para roubar carteiras de criptomoedas e dados confidenciais de desenvolvedores.
A atividade, rastreada pela ReversingLabs e denominada campanha Ghost, envolve diversos pacotes publicados por um usuário conhecido como “mikilanjillo”. Entre eles, destacam-se:
- react-performance-suite
- react-state-optimizer-core
- react-fast-utilsa
- ai-fast-auto-trader
- pacote novofefame1
- clonador de cópia de carbono-mac
- coinbase-desktop-sdk
Esses pacotes aparentam ser ferramentas legítimas, mas escondem comportamentos maliciosos sofisticados.
- Leia também: O Que São Canários de Mandado? Entenda Esse Sinal Oculto de Vigilância
- Leia também: Privacidade de Dados: O Que é, Por Que Importa e Como Proteger Suas Informações
- Leia também: Os perigos ocultos de usar uma licença cPanel pirata (e como evitar prejuízos)
Segundo Lucija Valentić, pesquisadora da ReversingLabs, os pacotes utilizam técnicas avançadas para enganar os usuários. Eles exibem logs falsos de instalação do npm, simulando um processo legítimo enquanto executam atividades maliciosas em segundo plano.
Além disso, as bibliotecas Node.js inserem atrasos aleatórios durante a instalação, criando a falsa impressão de que tudo está funcionando corretamente. Em determinado momento, o usuário recebe uma mensagem de erro alegando falta de permissões de gravação no diretório padrão “/usr/local/lib/node_modules”.
Nesse ponto, entra a engenharia social: o usuário é instruído a fornecer a senha de administrador (sudo) para continuar a instalação. Caso a senha seja inserida, o malware executa a próxima fase do ataque sem levantar suspeitas.
Após obter acesso privilegiado, o código baixa silenciosamente um segundo estágio do malware. Esse componente se conecta a um canal no Telegram para obter a URL do payload final e a chave necessária para descriptografia.
O ataque termina com a instalação de um RAT (Remote Access Trojan), capaz de:
- Coletar credenciais do sistema
- Roubar carteiras de criptomoedas
- Aguardar comandos remotos de servidores externos
Relação com a campanha GhostClaw
A ReversingLabs aponta que a campanha Ghost possui semelhanças com uma atividade recente chamada GhostClaw, documentada pela JFrog. Apesar disso, ainda não há confirmação se ambas fazem parte da mesma operação.
A análise da Jamf Threat Labs revelou que o GhostClaw utiliza repositórios do GitHub e fluxos de trabalho assistidos por inteligência artificial para distribuir malware, especialmente voltado para sistemas macOS.
Esses repositórios se passam por ferramentas confiáveis, como:
- Bots de negociação
- SDKs
- Utilitários para desenvolvedores
Muitos deles acumulam centenas de estrelas, aumentando a credibilidade e dificultando a identificação da ameaça.
Como o ataque evolui
Uma das estratégias utilizadas é manter repositórios com código aparentemente legítimo por longos períodos. Isso ajuda a construir confiança antes da introdução de componentes maliciosos.
O processo de infecção ocorre em várias etapas:
- O script identifica o sistema operacional e a arquitetura do dispositivo
- Verifica e instala o Node.js, se necessário
- Executa arquivos como “setup.js” e “postinstall.js”
- Inicia a coleta de dados sensíveis
- Conecta-se a servidores de comando e controle (C2)
- Remove vestígios da atividade maliciosa
O malware também pode operar em dois modos diferentes, controlados pela variável “GHOST_PASSWORD_ONLY”:
- Modo completo: simula instalação com interface e progresso
- Modo silencioso: foca apenas na coleta de credenciais
Em alguns casos, após a infecção, o sistema exibe uma mensagem falsa informando que a instalação foi concluída com sucesso, aumentando ainda mais a dificuldade de detecção.
Roubo de dados e monetização
De acordo com a empresa Panther, o ataque utiliza um modelo de monetização em duas camadas:
- Receita principal: venda de credenciais roubadas via canais do Telegram
- Receita secundária: redirecionamento de usuários para URLs afiliadas
Os dados coletados incluem:
- Credenciais de navegadores
- Carteiras de criptomoedas
- Chaves SSH
- Tokens de ferramentas de desenvolvimento
- Configurações de provedores de nuvem
Essas informações são enviadas para bots do Telegram e armazenadas em contratos inteligentes na Binance Smart Chain (BSC), permitindo atualizações sem alterar o malware original.
Um novo nível de sofisticação em ataques supply chain
A campanha Ghost evidencia uma evolução significativa nas táticas de ataque. Os invasores não dependem mais apenas de registros de pacotes, mas exploram também:
- Repositórios no GitHub
- Ferramentas populares de desenvolvimento
- Fluxos de trabalho com inteligência artificial
Ao se aproveitarem de ambientes confiáveis e práticas comuns de instalação, os atacantes conseguem inserir código malicioso com o mínimo de suspeita.
A campanha Ghost reforça a importância de adotar práticas rigorosas de segurança no desenvolvimento de software. Mesmo pacotes aparentemente legítimos podem esconder ameaças sofisticadas.
Para se proteger:
- Evite instalar pacotes desconhecidos sem verificação
- Análise dependências antes de utilizá-las
- Desconfie de solicitações de senha durante instalações
- Utilize ferramentas de segurança e monitoramento
O cenário atual mostra que ataques à cadeia de suprimentos de software estão cada vez mais avançados e difíceis de detectar, exigindo atenção redobrada por parte de desenvolvedores e empresas.
Fonte: The Hacker News —https://thehackernews.com/2026/03/ghost-campaign-uses-7-npm-packages-to.html?m=1
