Pesquisadores de cibersegurança identificaram novos pacotes maliciosos publicados no NPM, principal repositório de bibliotecas JavaScript do mundo, utilizados para distribuir infostealers e malwares voltados a ataques DDoS. A campanha utiliza técnicas inspiradas no worm “Shai-Hulud”, ameaça que ganhou notoriedade após comprometer centenas de pacotes de software em ataques à cadeia de suprimentos digitais.
De acordo com análises divulgadas por especialistas em segurança, quatro pacotes suspeitos foram detectados contendo cargas maliciosas capazes de roubar credenciais de desenvolvedores, tokens de autenticação, chaves de acesso em nuvem e informações sensíveis armazenadas em ambientes de desenvolvimento. Um dos pacotes identificados seria uma cópia direta do código do worm Shai-Hulud vazado anteriormente na internet.
Entre os nomes, foram criados para parecer bibliotecas legítimas e enganar desenvolvedores por meio de erros de digitação ou semelhança visual com pacotes populares do ecossistema JavaScript. Esse tipo de técnica é conhecido como “typosquatting” e é amplamente utilizado em ataques à cadeia de suprimentos de software.
Segundo os pesquisadores, ao instalar um desses pacotes falsos, o usuário pode acabar executando códigos maliciosos sem perceber. As ameaças identificadas seriam capazes de roubar informações sensíveis, comprometer ambientes de desenvolvimento e transformar máquinas infectadas em parte de botnets usadas para ataques distribuídos de negação de serviço (DDoS).
Os especialistas alertam que o caso reforça o crescimento das ameaças voltadas à cadeia de suprimentos de software, especialmente em plataformas open source amplamente utilizadas por empresas e desenvolvedores no mundo inteiro. O modelo de ataque explora a confiança em bibliotecas públicas e automatizações de CI/CD para espalhar rapidamente os códigos maliciosos.
A campanha também demonstra a evolução das variantes do worm Shai-Hulud, malware que ficou conhecido por se autopropagar entre pacotes comprometidos, roubar segredos armazenados em ambientes de desenvolvimento e infectar novos projetos automaticamente. Pesquisadores apontam que versões recentes já afetaram centenas de pacotes NPM e PyPI, atingindo inclusive projetos ligados a IA, automação e computação em nuvem.
Especialistas recomendam que desenvolvedores revisem dependências instaladas recentemente, habilitem autenticação multifator em contas NPM e GitHub, monitorem scripts de instalação suspeitos e utilizem ferramentas de análise de dependências para reduzir os riscos de comprometimento da cadeia de software.
