Dois pacotes maliciosos foram descobertos no índice de pacotes JavaScript npm, os quais se passavam por utilitários úteis mas, na realidade, são wipers de dados destrutivos que deletam diretórios inteiros de aplicativos.
Os pacotes wipers de dados são 'express-api-sync' e 'system-health-sync-api', e se passam por ferramentas de sincronização de banco de dados e monitoramento da saúde do sistema.
De acordo com a empresa de segurança de software open-source Socket, ambos contêm backdoors que permitem ações remotas de wipagem de dados no host infectado.
Os pacotes foram publicados no npm em maio de 2025 e foram removidos do npm após serem reportados pela Socket.
As estatísticas históricas da empresa mostram que express-api-sync foi baixado por desenvolvedores desavisados 855 vezes, enquanto express-api-sync teve 104 downloads.
O primeiro pacote, express-api-sync, registra um endpoint POST oculto (/api/this/that) e espera por solicitações que contenham a chave secreta 'DEFAULT_123.'
Uma vez recebida, ele executa "rm -rf *" no diretório da aplicação, deletando todos os arquivos.
"Uma vez acionado, o comando rm -rf * executa no diretório de trabalho da aplicação, deletando todos os arquivos, incluindo código-fonte, arquivos de configuração, ativos enviados e quaisquer bancos de dados locais", explica o relatório da Socket.
"O endpoint retorna mensagens de status ao atacante indicando sucesso ({"message":"All files deleted"}) ou falha da destruição."
O segundo pacote, 'system-health-sync-api', é mais sofisticado.
Ele registra multiplos endpoints backdoor em:
GET /_/system/health → retorna o status do servidor
POST /_/system/health → endpoint primário de destruição
POST /_/sys/maintenance → endpoint de destruição secundário
Neste caso, a chave secreta é 'HelloWorld', desencadeando reconhecimento seguido por destruição remota, específica do sistema operacional.
O wiper suporta comandos de deleção tanto para Linux ('rm -rf *') quanto para Windows ('rd /s /q .'), usando o comando apropriado dependendo da arquitetura detectada.
Uma vez completa a ação, o wiper envia um email ao atacante para ‘[email protected]' com a URL do backend, a impressão digital do sistema e o resultado da limpeza de arquivos.
O atacante também recebe um feedback mais imediato para seu pedido original via uma resposta HTTP, que confirma se o comando destrutivo teve sucesso em tempo real.
Casos de wipers de dados no npm são incomuns, pois eles não servem para ganho financeiro ou furto de dados, que é o caso típico quando malware acaba em plataformas de distribuição de software.
A Socket comenta sobre isso caracterizando os dois pacotes como "uma preocupante adição à paisagem de ameaças do npm," o que poderia significar atividade de nível estatal ou de sabotagem se infiltrando no ecossistema.
"Esses pacotes não roubam criptomoeda ou credenciais – eles deletam tudo," conclui a Socket.
Isso sugere atacantes motivados por sabotagem, competição ou perturbação de nível estatal ao invés de serem movidos unicamente por motivações financeiras.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...