Pesquisadores de segurança descobriram 175 pacotes maliciosos no repositório NPM, que já acumularam mais de 26 mil downloads. Esses pacotes, aparentemente legítimos, foram projetados para roubar tokens, credenciais e dados sensíveis de desenvolvedores e ambientes corporativos. A investigação foi conduzida pela ReversingLabs, que identificou que os invasores tentavam se passar por bibliotecas conhecidas da comunidade JavaScript, um tipo de golpe conhecido como typosquatting.
Os cibercriminosos publicaram versões com nomes quase idênticos aos originais — como “react-http-client” ou “axioss” — para enganar desenvolvedores distraídos. Uma vez instalados, esses pacotes executavam scripts capazes de exfiltrar variáveis de ambiente, chaves de API e credenciais de acesso a repositórios. O ataque é particularmente perigoso para empresas que usam pipelines automatizados de CI/CD, onde um único pacote comprometido pode comprometer todo o fluxo de desenvolvimento.
A equipe da ReversingLabs alertou que a campanha demonstra o crescente uso de ataques à cadeia de suprimentos de software, que têm se tornado uma das principais ameaças à indústria tecnológica. A facilidade de publicação no NPM e a confiança cega em dependências públicas tornam esse tipo de incidente difícil de detectar sem processos de auditoria e validação contínua.
Dica de prevenção:
Empresas e desenvolvedores devem revisar dependências regularmente, utilizar ferramentas de package integrity e adotar políticas internas para validação de bibliotecas antes da instalação. Além disso, é essencial configurar sistemas de detecção de anomalias em pipelines e aplicar controles de acesso rigorosos em ambientes de desenvolvimento.
Casos como este mostram que a segurança deve ser tratada como parte essencial do ciclo de desenvolvimento. Para proteger sua empresa de ataques à cadeia de suprimentos, conheça as soluções da LC SEC, que incluem Pentest, Threat Intelligence com IA, Auditoria Interna, Conscientização e Plano Diretor de Segurança em lcsec.io.