Pesquisadores de cibersegurança descobriram um pacote malicioso chamado "os-info-checker-es6", que se disfarça como uma ferramenta de informações do sistema operacional para, sorrateiramente, implementar um payload em sistemas comprometidos.
"Essa campanha utiliza esteganografia baseada em Unicode de forma inteligente para esconder seu código malicioso inicial e utiliza um link curto de um evento do Google Calendar como um dropper dinâmico para seu payload final," disse a Veracode em um relatório compartilhado com a imprensa.
"Os-info-checker-es6" foi publicado pela primeira vez no registro npm em 19 de março de 2025, por um usuário chamado "kim9123".
Até o momento da redação deste texto, foi baixado 2.001 vezes.
O mesmo usuário também carregou outro pacote npm chamado "skip-tot" que lista "os-info-checker-es6" como uma dependência.
O pacote foi baixado 94 vezes.
Enquanto as cinco primeiras versões não mostravam sinais de exfiltração de dados ou comportamento malicioso, uma iteração subsequente carregada em 7 de maio de 2025, foi encontrada incluindo código ofuscado no arquivo "preinstall.js" para analisar caracteres Unicode de "Uso Privativo" e extrair um payload de próxima etapa.
O código malicioso, por sua vez, é projetado para contatar um link curto de um evento do Google Calendar ("calendar.app[.]google/<string>") com uma string codificada em Base64 como título, que decodifica para um servidor remoto com o endereço IP "140.82.54[.]223." Em outras palavras, o Google Calendar é um resolver de dead drop para ofuscar a infraestrutura controlada pelo atacante.
No entanto, nenhum payload adicional é distribuído neste ponto.
Isso indica que a campanha está ou ainda em andamento, ou atualmente dormente.
Outra possibilidade é que já tenha concluído, ou que o servidor de comando-e-controle (C2) seja projetado para responder apenas a máquinas específicas que atendam a certos critérios.
"O uso de um serviço legítimo e amplamente confiável como o Google Calendar como intermediário para hospedar o próximo link C2 é uma tática inteligente para evadir a detecção e tornar mais difícil o bloqueio das etapas iniciais do ataque," disse a Veracode.
A empresa de segurança de aplicativos e a Aikido, que também detalhou a atividade, observaram ainda que três outros pacotes listaram "os-info-checker-es6" como uma dependência, embora se suspeite que os pacotes dependentes façam parte da mesma campanha:
- vue-dev-serverr
- vue-dummyy
- vue-bit
"O pacote os-info-checker-es6 representa uma ameaça sofisticada e em evolução dentro do ecossistema npm," disse a Veracode.
"O atacante demonstrou uma progressão de testes aparentes para implantar um malware em múltiplas etapas."
A revelação ocorre ao mesmo tempo que a empresa de segurança da cadeia de suprimentos de software Socket destacou typoquatting, abuso do cache do repositório Go, ofuscação, execução em múltiplas etapas, slopsquatting e abuso de serviços legítimos e ferramentas de desenvolvimento como as seis principais técnicas adversárias adotadas por atores de ameaças no primeiro semestre de 2025.
"Para combater isso, os defensores devem focar em sinais comportamentais, como scripts de pós-instalação inesperados, sobrescritas de arquivos e tráfego de saída não autorizado, enquanto validam pacotes de terceiros antes do uso," disseram os pesquisadores de segurança Kirill Boychenko e Philipp Burckhardt.
Análise estática e dinâmica, pinning de versão e inspeção minuciosa dos logs de CI/CD são essenciais para detectar dependências maliciosas antes que elas cheguem à produção.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...