Pesquisadores identificaram uma nova campanha de malware chamada StealIt que explora extensões do Node.js para roubar credenciais e dados sensíveis de desenvolvedores e sistemas. O código malicioso se disfarça como dependências legítimas e aproveita permissões concedidas a pacotes instalados localmente, podendo extrair tokens e variáveis de ambiente utilizadas em pipelines de CI/CD. A infiltração nesse estágio torna o impacto grave, pois permite acesso a repositórios, serviços em nuvem e segredos de produção sem interação direta do usuário.
A campanha utiliza técnicas de typosquatting e publicação de pacotes com nomes semelhantes aos originais, além de extensões binárias que são carregadas por aplicações Node.js. Quando integrados a ambientes automatizados, esses pacotes enviam informações para servidores controlados pelos atacantes, facilitando movimentos laterais e comprometimento de cadeias de suprimentos de software. Equipes detectaram que o malware também tenta persistir alterando scripts de build e arquivos de configuração, o que dificulta a remoção. O risco é maior em organizações que permitem instalações diretas de terceiros em servidores de build ou containers sem validação adequada. Relatórios alertam que um único pacote malicioso pode contaminar múltiplos projetos e ambientes de produção. A resposta rápida inclui isolamento de sistemas afetados e comunicação imediata com fornecedores para conter a propagação e apoiar a remediação.
Para reduzir o risco, adote verificações de integridade de pacotes, bloqueie instalações de dependências não aprovadas e implemente varreduras automáticas de segredos em commits e pipelines. Utilize políticas que forcem assinaturas de pacotes e listas de permissões, execute análises estáticas em imagens de contêiner e limite privilégios das contas de serviço. Treine desenvolvedores para desconfiar de nomes parecidos e revisar manualmente dependências críticas antes da aceitação em builds automatizados.
A segurança da cadeia de suprimentos de software exige controles técnicos e processos maduros. Se sua empresa precisa avaliar riscos em pipelines, realizar pentests focados em desenvolvimento ou implantar Threat Intelligence com IA para monitorar pacotes maliciosos, a LC SEC oferece serviços como Pentest, Threat Intelligence com IA, Auditoria Interna, Conscientização, Plano Diretor de Segurança e SGSI. Fortaleça a proteção de seus projetos com uma abordagem prática e sob medida: conheça nossos serviços em lcsec.io
Compartilhe nas redes sociais:
