A Microsoft atribuiu um recente ataque à cadeia de suprimentos envolvendo a IA Mastra, que comprometeu mais de 140 pacotes npm, ao grupo de hackers norte-coreano Sapphire Sleet, também conhecido como BlueNoroff.
A identificação ocorre depois de a própria Microsoft ter revelado, no início desta semana, que atacantes sequestraram uma conta de mantenedor no npm e a usaram para publicar atualizações maliciosas de pacotes.
“A Microsoft avalia com alta confiança que essa atividade é atribuível ao Sapphire Sleet, um agente estatal norte-coreano que tem como alvo principal o setor financeiro”, afirmou a empresa em uma atualização publicada em 19 de junho.
Segundo a Microsoft, o ataque começou quando threat actors comprometeram a conta do mantenedor do npm “ehindero”, que tinha privilégios de publicação em todo o ambiente de pacotes da Mastra.
Com acesso à conta, os atacantes publicaram atualizações maliciosas para mais de 140 pacotes no escopo @mastra, inserindo uma dependência maliciosa chamada “easy-day-js”.
Esse pacote é um typosquat da biblioteca JavaScript legítima e amplamente usada dayjs.
Quando os pacotes comprometidos eram instalados, a dependência maliciosa executava um gancho de pós-instalação que implantava um dropper de malware nos dispositivos dos desenvolvedores, com o objetivo final de roubar credenciais sensíveis, chaves de API, tokens de autenticação e carteiras de criptomoedas.
“Depois de instalado, easy-day-js acionou um gancho de postinstall que executou um script ofuscado de dropper, desativou a verificação de certificados do Transport Layer Security (TLS), contatou uma infraestrutura de comando e controle (C2) controlada pelos atacantes, baixou um payload de segunda etapa e o executou como um processo oculto e desvinculado”, explicou a Microsoft.
O payload de segunda etapa baixado era um infostealer multiplataforma, projetado para atingir sistemas Windows, Linux e macOS.
O implant coletava informações sobre o host, históricos de navegador, aplicativos instalados e processos em execução, além de verificar se 166 extensões de carteiras de criptomoedas estavam instaladas, incluindo MetaMask, Phantom, Coinbase Wallet, Binance Wallet e TronLink.
O malware também usava diferentes mecanismos de persistência conforme o sistema operacional, como chaves Run do Registro do Windows, LaunchAgents do macOS e serviços systemd no Linux.
A Microsoft afirma que os sistemas que se comunicaram com os servidores de comando e controle dos atacantes passaram por atividades subsequentes que utilizaram táticas já associadas ao Sapphire Sleet.
Isso inclui a implantação de um backdoor em PowerShell já usado pelo grupo, mecanismos adicionais de persistência, exclusões no Microsoft Defender e um serviço malicioso do Windows que concedia privilégios SYSTEM.
“O backdoor em PowerShell, as táticas e a infraestrutura de C2 foram usados pelo Sapphire Sleet em outras campanhas anteriores”, explicou a Microsoft.
O Sapphire Sleet é um threat actor patrocinado pelo Estado norte-coreano, conhecido por campanhas de roubo de criptomoedas, extensões maliciosas de navegador, falsas ofertas de emprego e compromissos na cadeia de suprimentos de software voltados a roubar credenciais e ativos em criptomoedas.
A Microsoft afirma ainda que o grupo também foi responsável por um ataque separado à cadeia de suprimentos no npm contra o cliente HTTP Axios, em abril de 2026.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...