Pesquisadores de cybersecurity descobriram um pacote malicioso no npm com funcionalidades furtivas para injetar código malicioso em apps desktop de carteiras de criptomoedas como Atomic e Exodus em sistemas Windows.
O pacote, chamado nodejs-smtp, se apresenta como a legítima biblioteca de email nodemailer, com a mesma tagline, estilo da página e descrições no README, atraindo um total de 347 downloads desde que foi publicado no registro do npm em abril de 2025 por um usuário chamado "nikotimon".
Atualmente, ele não está mais disponível.
"Na importação, o pacote utiliza ferramentas do Electron para descompactar o app.asar da Atomic Wallet, substituir um bundle de fornecedor por um payload malicioso, reempacotar o aplicativo e apagar seus rastros ao deletar o diretório de trabalho", explicou Kirill Boychenko, pesquisador da Socket.
O principal objetivo é sobrescrever o endereço do destinatário com wallets hard-coded controladas pelo ator de ameaça, redirecionando transações de Bitcoin (BTC), Ethereum (ETH), Tether (USDT e TRX USDT), XRP (XRP) e Solana (SOL), funcionando efetivamente como um cryptocurrency clipper.
Dito isso, o pacote entrega a funcionalidade declarada, agindo como um mailer baseado em SMTP para tentar evitar suspeitas dos desenvolvedores.
O pacote ainda funciona como mailer e expõe uma interface drop-in compatível com o nodemailer.
Essa camuflagem funcional reduz suspeitas, permite que os testes da aplicação passem e oferece pouco motivo para que desenvolvedores questionem a dependência.
Esta descoberta acontece meses após a ReversingLabs identificar um pacote npm chamado "pdf-to-office" que alcançava os mesmos objetivos ao descompactar os arquivos app.asar associados às carteiras Atomic e Exodus e modificar dentro deles um arquivo JavaScript para introduzir a função clipper.
"Essa campanha mostra como uma importação rotineira na estação de trabalho de um desenvolvedor pode silenciosamente modificar um aplicativo desktop separado e persistir mesmo após reinicializações", afirmou Boychenko.
Abusando da execução em tempo de import e do empacotamento Electron, um mailer similar se torna um wallet drainer que altera Atomic e Exodus em sistemas Windows comprometidos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...