Hack Alerta

Amazon detecta 150.000 pacotes NPM em campanha com worm

Por Redação Hack Alerta Publicado em 14/11/2025 08:02 Riscos e Ameaças Tempo de leitura: 3 min

A Amazon detectou a publicação automatizada de cerca de 150.000 pacotes NPM em uma campanha coordenada associada a token farming ligada ao domínio tea.xyz. O SecurityWeek reporta que o ator financeiro automatizou o pipeline de publicação, mas não há detalhes públicos sobre conteúdo malicioso nos pacotes nem sobre remoções em massa no registry.

Amazon identificou automação massiva de publicação de pacotes NPM numa campanha financeira

Uma campanha automatizada vinculada a farming de token atacou o ecossistema NPM, com a publicação coordenada de cerca de 150.000 pacotes, segundo apuração da Amazon reportada pelo SecurityWeek.

Panorama

A investigação interna da Amazon detectou um padrão de publicação em larga escala de pacotes NPM que foi automatizado por um agente malicioso. A campanha foi associada a uma operação de token farming ligada ao domínio tea.xyz, segundo o relato do veículo.

Como a campanha operou

De acordo com o SecurityWeek, o ator financeiro por trás da operação automatizou o processo de publicação de pacotes, transformando-o em uma campanha em escala massiva. O texto não detalha vetor de persistência ou mecanismos de propagação além da automação do pipeline de publicação.

Impacto e alcance

  • Volume: cerca de 150.000 pacotes NPM detectados pela Amazon.
  • Objetivo aparente: farming de tokens (operações financeiras relacionadas ao domínio tea.xyz), conforme a investigação descrita pelo veículo.

O SecurityWeek descreve a operação como coordenada e financeiramente motivada, o que indica risco para integridade do ecossistema de pacotes (supply chain). O alcance exato — quantos projetos foram efetivamente comprometidos ou quantos downloads ocorreram — não é informado na matéria.

Limitações das informações

As fontes não detalham se os pacotes continham malware, backdoors ou apenas código inócuo usado para criar endereços/artefatos relacionados à operação financeira. Também não há informação pública no texto sobre contas de desenvolvedor comprometidas, medidas adotadas pelo npm registry, ou se houve coordenação com órgãos de aplicação da lei.

Recomendações práticas

  • Auditar dependências em projetos: revisar pacotes novos publicados recentemente e evitar atualizações automáticas sem revisão.
  • Implementar políticas de assinatura e verificação de pacotes onde possível, e controles de CI/CD que bloqueiem dependências não avaliadas.
  • Monitorar atividade atípica em repositórios e contas de publicação (p.ex. picos súbitos de publicação ou pacotes com metadata incomum).

Contexto maior

A publicação massiva de pacotes como vetor para fraudes ou para criação de infraestrutura de suporte a operações financeiras (ex.: token farming) é uma variante do problema maior de segurança de software supply chain. A automação da publicação amplia velocidade e escala das operações e torna a detecção tradicional mais difícil sem telemetria centralizada e controles de reputação.

O que falta saber

O relato do SecurityWeek não informa se houve remoção em massa dos pacotes pelo npm, se contas foram suspensas, nem se houve perdas financeiras diretas identificadas por vítimas. Também não existe, na matéria, indicação de nomes do ator ou atribuição geográfica.

Fonte: SecurityWeek

Baseado em publicação original de SecurityWeek
Tags: #npm #worm #supply-chain #package #amazon #token-farming #javascript #devsecops #malware
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar