Pesquisadores especializados em cibersegurança identificaram uma nova série de pacotes maliciosos nos repositórios npm e Python Package Index (PyPI), vinculados a uma campanha fictícia de recrutamento atribuída ao grupo Lazarus, associado à Coreia do Norte.
Batizada de “graphalgo”, em referência ao primeiro pacote publicado no npm, essa campanha coordenada está ativa desde maio de 2025.
Segundo Karlo Zanki, pesquisador da ReversingLabs, “os desenvolvedores são abordados por plataformas sociais como LinkedIn e Facebook, ou recebem ofertas de emprego em fóruns como Reddit.
A campanha inclui uma história bem elaborada envolvendo uma empresa fictícia do setor de blockchain e exchanges de criptomoedas.”
Um dos pacotes npm identificados, o bigmathutils, teve mais de 10.000 downloads após o lançamento da primeira versão — não maliciosa —, e antes da liberação da segunda, que já continha um payload malicioso.
A lista completa dos pacotes detectados inclui diversos nomes relacionados a gráficos e matemática, distribuídos entre npm e PyPI.
Como em outras operações focadas em vagas de trabalho promovidas por atores norte-coreanos, o ataque começa com a criação de uma empresa falsa — Veltrix Capital — no setor de blockchain e criptomoedas.
Para dar aparência legítima, os criminosos registram domínios e criam uma organização no GitHub, onde hospedam repositórios usados em testes técnicos com candidatos.
Esses projetos, baseados em Python e JavaScript, não apresentam código malicioso direto.
A infecção ocorre de forma indireta, por meio de dependências maliciosas hospedadas nos repositórios open source do npm e PyPI.
A estratégia é enganar os candidatos, que, ao executarem os projetos em suas máquinas, instalam inadvertidamente os pacotes maliciosos.
Em alguns casos, os próprios recrutadores falsos entram em contato via LinkedIn.
Os pacotes comprometidos funcionam como canais para instalar um trojan de acesso remoto (RAT), que periodicamente se comunica com servidores externos para receber e executar comandos.
Ele é capaz de coletar informações do sistema, enumerar arquivos e processos, manipular diretórios e baixar ou enviar dados.
A comunicação com o servidor de comando e controle (C2) é protegida por um sistema token-based, garantindo que apenas requisições autenticadas sejam aceitas — uma técnica observada anteriormente em ataques do grupo norte-coreano Jade Sleet (também conhecido como TraderTraitor ou UNC4899).
Na prática, o pacote envia dados do sistema ao servidor C2 como parte do registro inicial e recebe um token.
Esse token deve ser enviado nas requisições subsequentes, comprovando que a máquina está “registrada” e infectada.
“Esse uso de tokens é uma semelhança incomum e, até onde sabemos, não foi observado em outros malwares hospedados em repositórios públicos”, ressaltou Zanki.
As evidências indicam que os atacantes patrocinados pelo Estado norte-coreano continuam contaminando ecossistemas open source com pacotes maliciosos, visando roubo de dados sensíveis e fraudes financeiras.
O RAT, por exemplo, verifica se a extensão MetaMask está instalada, visando roubar credenciais vinculadas a criptomoedas.
“Trata-se de uma campanha altamente sofisticada”, afirmam os pesquisadores da ReversingLabs.
“Sua modularidade, longevidade, a paciência para criar uma rede de confiança e o nível de complexidade do malware multilayered e criptografado confirmam o envolvimento de um ator estatal.”
Pacotes maliciosos npm adicionais
Simultaneamente, a JFrog revelou um pacote npm malicioso chamado “duer-js”, publicado por um usuário identificado como “luizaearlyx”.
Embora alegue ser uma ferramenta para melhorar a visibilidade da janela do console, o pacote contém o trojan Bada Stealer, projetado para roubar tokens do Discord, senhas, cookies, dados de preenchimento automático de navegadores populares (Google Chrome, Edge, Brave, Opera, Yandex), além de carteiras de criptomoedas e informações do sistema.
Os dados são enviados para um webhook do Discord e armazenados como backup no serviço Gofile.
Segundo o pesquisador Guy Korolevski, “além do roubo inicial, o pacote faz download de um payload secundário que se instala no startup do aplicativo Discord Desktop, com capacidade de autoatualização e roubo direto, incluindo métodos de pagamento.”
No mesmo período, outra campanha detectada usa o npm para extorquir pagamentos em criptomoedas de desenvolvedores ao instalar pacotes via “npm install”.
Batizada de XPACK ATTACK pela OpenSourceMalware e ativa desde 4 de fevereiro de 2026, essa operação bloqueia a instalação solicitando um pagamento de 0,1 USDC ou ETH à carteira dos atacantes, disfarçando a exigência como um paywall legítimo.
Os pacotes são publicados por “dev.chandra_bose” e incluem diversos nomes com o prefixo “xpack”.
Paul McCarty, pesquisador de segurança, explica: “Diferentemente dos malwares tradicionais, que roubam credenciais ou abrem shells reversos, esse ataque usa o código HTTP 402 ‘Payment Required’ para criar uma barreira aparentemente legítima.
Se o pagamento não é feito, a instalação falha após mais de cinco minutos, consumindo tempo do desenvolvedor sem que ele perceba que está diante de um malware, e não de um paywall oficial.”
Os casos recentes evidenciam a crescente ameaça representada por atores estatais em ecossistemas open source, reforçando a necessidade de cautela ao baixar e instalar pacotes, bem como a importância de monitorar dependências provenientes de fontes não confiáveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...