Pesquisadores em cibersegurança revelaram uma campanha ativa de malware do tipo worm na cadeia de suprimentos, apelidada SANDWORM_MODE, que utiliza pelo menos 19 pacotes maliciosos no npm para roubo de credenciais e chaves de criptomoedas.
A operação, identificada pela empresa de segurança Socket, apresenta semelhanças com ataques anteriores conhecidos como Shai-Hulud, que se propagam automaticamente explorando identidades roubadas no npm e GitHub.
Os pacotes comprometidos foram publicados sob dois aliases de publicadores no npm: official334 e javaorg.
Entre eles estão nomes como [email protected], [email protected] e [email protected], totalizando 19 variantes.
Além disso, foram identificados quatro pacotes “dorminhocos”, sem funcionalidades maliciosas aparentes: ethres, iru-caches, iruchache e uudi.
Além da propagação via npm, a campanha utiliza um GitHub Action malicioso para capturar segredos de CI/CD, exfiltrando dados por HTTPS, com fallback via DNS.
Há também uma rotina destrutiva que pode apagar o diretório home do usuário caso perca acesso ao GitHub e npm — embora essa função esteja desativada por padrão.
Um componente importante é o módulo “McpInject”, que mira assistentes de codificação baseados em IA, como Claude Code, VS Code e Windsurf.
Esse módulo injeta um servidor falso do protocolo MCP que registra ferramentas com prompt injections para capturar arquivos sensíveis, incluindo chaves SSH, credenciais AWS, arquivos .npmrc e .env.
Também tem como alvo chaves API de nove grandes provedores de modelos de linguagem (LLMs), como OpenAI, Anthropic e Google.
A ameaça incorpora ainda um motor polimórfico capaz de ofuscar o código automaticamente, alterando variáveis, fluxo de controle e inserindo código inútil para evitar detecção.
Embora essa função esteja desabilitada atualmente, sua presença indica intenção de uso em futuras versões do malware.
O ataque ocorre em duas fases: inicialmente captura credenciais e chaves e, após até 96 horas, ativa um estágio secundário com coleta avançada, propagação em estilo worm, injeção MCP e exfiltração completa dos dados.
Usuários que instalaram qualquer um desses pacotes devem removê-los imediatamente, trocar tokens do npm, GitHub e segredos de CI/CD, e revisar arquivos de configuração e workflows em busca de alterações inesperadas.
Segundo a Socket, apesar de algumas funcionalidades ainda estarem em desenvolvimento, a distribuição intencional do worm via múltiplos pacotes e aliases indica risco real e elevado para os ambientes afetados.
Paralelamente, as empresas Veracode e JFrog alertaram para outros dois pacotes npm maliciosos: "buildrunner-dev" e "eslint-verify-plugin".
O primeiro entrega o RAT (remote access trojan) Pulsar para sistemas Windows, macOS e Linux, disfarçado em uma imagem PNG.
Já o segundo simula uma ferramenta legítima do ESLint, mas instala um agente que realiza uma infecção complexa para coletar dados, acessar credenciais e se movimentar lateralmente, especialmente em ambientes macOS e Linux.
No Linux, o eslint-verify-plugin instala o agente Poseidon para o framework Mythic C2, que permite diversas ações pós-exploração; no macOS, executa o agente Apfell para coleta extensiva de dados e criação de um usuário administrador.
Alguns dos dados capturados por esses agentes incluem informações do sistema, credenciais, favoritos do navegador Google Chrome, conteúdo da área de transferência, arquivos relacionados ao iCloud Keychain, cookies, capturas de tela e metadados de arquivos.
Outro alerta recente vem da Checkmarx, que detectou a extensão maliciosa "solid281" para Visual Studio Code, que se passa pelo plugin oficial para Solidity.
Ela executa um loader ofuscado que instala o ScreenConnect no Windows e uma backdoor Python reversa em macOS e Linux.
A campanha tem como alvo específico os desenvolvedores de Solidity, combinando extensões falsas para instalar trojans e outros payloads.
Diante desses incidentes, a recomendação para desenvolvedores e equipes de segurança é redobrar a atenção ao usar pacotes npm e extensões, manter tokens e segredos protegidos, e monitorar regularmente ambientes de desenvolvimento e CI/CD em busca de sinais de comprometimento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...