Pesquisadores divulgaram uma campanha que utilizou 27 pacotes maliciosos publicados no registro npm como infraestrutura para phishing direcionado a equipes comerciais e de vendas. A atividade foi descrita como sustentada e direcionada, envolvendo múltiplos aliases.
O que se sabe
De acordo com o relatório, os operadores publicaram 27 pacotes distribuídos entre seis aliases diferentes no repositório npm. Os artefatos foram usados como parte de uma infraestrutura de phishing que visava principalmente profissionais de vendas e comerciais em organizações críticas — com o objetivo de roubar credenciais de acesso.
Mecanismo e vetor
Os pacotes maliciosos foram empregados como componentes de uma cadeia de engenharia social: ofereciam conteúdo ou componentes aparentemente legítimos, mas continham código destinado a redirecionar vítimas para páginas de phishing ou a capturar dados de entrada do usuário. O uso do registro oficial do npm auxilia a aparência de legitimidade e facilita a distribuição através de pipelines de desenvolvimento e dependências de projetos.
Impacto e alcance
Embora os pesquisadores não tenham disponibilizado um número absoluto de vítimas públicas, o padrão de direcionamento (profissionais de vendas e funções comerciais) sugere um enfoque em credenciais que podem permitir acesso a CRMs, plataformas de vendas e sistemas de faturamento — alvos de alto valor para fraude e exfiltração de dados sensíveis.
Detecção e mitigação
- Auditar dependências: revisar todas as dependências npm em projetos, especialmente pacotes recém-adicionados ou de autores não verificados.
- Políticas de uso do repositório: restringir instalações diretas de pacotes publicados externamente em ambientes de produção e usar registries internos com políticas de aprovação.
- Escopo mínimo de privilégios: implementar autenticação multifatorial (MFA) em serviços corporativos críticos e monitorar logins atípicos vindos de contas de vendas ou suporte.
- Detecção de exfiltração: monitorar requests de rede originadas de builds/CI que contactem domínios desconhecidos e bloquear comunicações com IPs/domínios listados como maliciosos.
Recomendações processuais
Times de desenvolvimento e segurança devem integrar análise de software de terceiros no pipeline (SCA — Software Composition Analysis) e manter uma lista de blocos e uma política de verificação de mantenedores. Para funções comerciais e de vendas, políticas adicionais de proteção de credenciais e segmentação de acessos reduzem o risco em caso de comprometimento.
Limitações e transparência
Os detalhes públicos focam na infraestrutura e no padrão de publicação de pacotes; não foram divulgadas listas completas de nomes de pacotes ou aliases no sumário público. Também não há, no sumário, métricas que indiquem quantas organizações ou contas foram efetivamente vítimas da campanha.
Conclusão
A utilização de pacotes npm como vetor para campanhas de phishing reforça a necessidade de controles sobre dependências de software, revisões de pacotes e políticas rígidas de proteção de credenciais para equipes com acesso a sistemas de alto valor. A integração de SCA e a restrição de instalação de pacotes externos reduz a superfície de ataque desse tipo de operação.