Ataque de phishing compromete pacotes npm e expõe ecossistema de software a novos riscos

O registo npm foi alvo de um ataque à supply chain depois de a conta de um dos seus maintainers ter sido comprometida através de phishing. O programador visado foi Josh Junon, conhecido como Qix, responsável por vários packages afetados. Entre os 20 packages comprometidos estão alguns dos mais populares da plataforma, com milhares de milhões de downloads semanais.

De acordo com o The Hacker News, Josh Junon recebeu um email imitava comunicações oficiais da plataforma npm, alegadamente a partir do endereço “support@npmjs[.]help”. A mensagem solicitava que o programador atualizasse as suas 2FA até 10 de setembro de 2025.

Ao abrir o link, o programador foi direcionado para uma página falsa que pedia nome de utilizador, palavra-passe e token de 2FA. Segundo os investigadores, esta informação terá sido roubada através de um ataque adversary-in-the-middle (AiTM), tendo sido utilizada para publicar versões adulteradas de pacotes populares no registo npm.

Entre os packages comprometidos estão ansi-regex, chalk e debug, que em conjunto acumulam centenas de milhões de downloads semanais. No total, foram afetados 20 packages que, em conjunto, ultrapassam duas mil milhões de transferências semanais.

A análise ao código injetado revela que o malware foi concebido para manipular transações de criptomoedas. O malware substituía a carteira para a qual a criptomoeda seria enviada por outra controlada pelos atacantes, ao utilizar cálculos de distância de Levenshtein para aproximar-se do original e reduzir a probabilidade de deteção.

Charlie Eriksen, da Aikido Security, explicou que a carga maliciosa funciona como um interceptador no navegador, e sequestra tráfego e API de aplicações para redirecionar ativos de criptomoeda.

A empresa de segurança Socket detalhou que o malware verifica se está a correr em ambiente de navegador e, em seguida, liga-se a componentes como window.fetch, XMLHttpRequest e window.ethereum.request. O objetivo é atingir utilizadores com carteiras digitais ligadas quando visitam páginas que incorporam código comprometido.

“Isto significa que os utilizadores finais são o principal alvo, embora programadores que abram páginas afetadas num navegador e conectem uma carteira possam igualmente ser vítimas”, esclareceu a Socket.

Para Ilkka Turunen, Field CTO da Sonatype, este ataque segue um padrão cada vez mais recorrente na supply chain de software. “O payload estava focado no roubo de criptomoedas, mas estes ataques permitem também roubar segredos, deixar backdoors e infiltrar-se em organizações”, afirmou ao The Hacker News.

O especialista sublinhou ainda que não se trata de alvos escolhidos ao acaso, uma vez que “as invasões de packages são já uma tática padrão de grupos avançados de ameaças, como o Lazarus. Ao comprometerem um único projeto, conseguem atingir uma grande fatia da comunidade mundial de programadores com recursos relativamente reduzidos”.

Até ao momento, não se sabe quem está por trás do ataque, e as autoridades e especialistas em segurança continuam a investigar.

De acordo com a mesma fonte, dados recentes da ReversingLabs mostram que, em 2024, 14 das 23 campanhas maliciosas ligadas a criptomoedas tiveram como alvo o npm, enquanto as restantes focaram-se no PyPI.