Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Novo vírus ataca NPM para roubar credenciais de usuários

Ataque à cadeia de suprimentos do npm usa worm com tokens roubados para se propagar, exfiltrar credenciais e alcançar ambientes com Docker, Kubernetes e carteiras virtuais

Novo vírus ataca NPM para roubar credenciais e dados de usuários
0:00
Carregando...
0:00
  • Novo ataque à cadeia de suprimentos do npm usa comportamento de worm para roubar credenciais e se espalhar automaticamente por pacotes, identificado por Socket e StepSecurity em pacotes ligados à Namastex Labs.
  • Pacotes afetados listados incluem “@automagik/genie”, “pgserve”, “@fairwords/websocket”, “@fairwords/loopback-connector-es” e “@openwebconcept/design-tokens”/“@openwebconcept/theme-owc”; a Socket aponta 16 versões comprometidas.
  • Malware coleta credenciais: tokens, chaves de API, credenciais de nuvem, configurações de Kubernetes e Docker, arquivos .env, chaves SSH e carteiras de criptomoedas; dados exfiltrados por webhook e por canister do Internet Computer Protocol (ICP).
  • O payload é ativado durante a instalação via postinstall e pode se propagaregon, inserindo payload malicioso em pacotes que a vítima tem permissão para publicar e republicando-os; há também capacidade de propagação para PyPI.
  • Recomendações: remover todas as versões maliciosas, rotacionar tokens e credenciais, auditar pacotes relacionados e comparar tarballs com releases públicos no GitHub para identificar discrepâncias.

Um novo ataque à cadeia de suprimentos do npm foi identificado por pesquisadores da Socket e da StepSecurity. O malware atua como worm, roubando credenciais de desenvolvedores e usando tokens de publicação comprometidos para se propagar entre pacotes do ecossistema. A campanha está ligada a pacotes vinculados à Namastex Labs, empresa brasileira que vende soluções com IA para agentes autônomos.

Entre os pacotes afetados estão @automagik/genie, pgserve, @fairwords/websocket, @fairwords/loopback-connector-es, @openwebconcept/design-tokens e @openwebconcept/theme-owc, com 16 versões comprometidas. O pacote @automagik/genie registrava aproximadamente 6,7 mil downloads semanais; pgserve, cerca de 1,3 mil. O primeiro lote malicioso do pgserve foi publicado em 21 de abril, com novas versões no mesmo dia.

O que o malware faz e como se espalha

O payload é acionado na instalação via hook postinstall, sem interação do usuário. Em seguida, o código coleta credenciais ambiente, tokens, chaves de API e dados sensíveis de nuvem, Kubernetes, Docker, Terraform e Vault, além de chaves SSH e histórico de shell. Também busca informações em navegadores e carteiras de criptomoedas.

Os dados coletados são enviados por dois canais: um webhook e um canister do ICP, rede descentralizada semelhante a blockchain. Quando há chave RSA, a exfiltração usa criptografia híbrida AES-256-CBC com RSA-OAEP-SHA256. Essa dupla via dificulta o bloqueio do canal de comando e controle.

Propagação automática pelo npm e PyPI

A parte mais preocupante é a autopropagação. Ao identificar tokens de publicação npm, o malware injeta o payload malicioso em pacotes que a vítima pode publicar e republlica versões incrementadas. Pacotes infectados podem, então, ser instalados por outros desenvolvedores, ampliando o alcance.

O ataque também mira o PyPI. Se credenciais Python estiverem presentes, o script gera um payload via arquivo .pth executado na inicialização do Python e usa o Twine para publicar pacotes infectados. A atuação em múltiplos ecossistemas amplia o risco de difusão.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais