Hack Alerta

Campanha arma ecossistema NPM e CDN unpkg para phishing contra desenvolvedores

Por Redação Hack Alerta Publicado em 14/10/2025 16:44 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisadores detectaram uma campanha que automatizou a publicação de mais de 175 pacotes NPM descartáveis e usa o CDN unpkg.com para entregar scripts que redirecionam vítimas a sites de roubo de credenciais; 135+ organizações foram afetadas, principalmente na Europa.

Pesquisadores identificaram uma campanha de phishing que aproveita a infraestrutura do ecossistema NPM e o CDN unpkg.com para entregar scripts maliciosos a vítimas que abrem arquivos HTML/JS disfarçados, segundo análise divulgada por Snyk e reportada por pesquisadores terceiros.

Introdução

Em vez de compilar ou executar pacotes maliciosos no processo de instalação, os atacantes automatizaram a publicação de mais de 175 pacotes descartáveis no registro NPM para servir como hospedagem de scripts carregáveis via unpkg.com, transformando o CDN em vetor de phishing distribuído.

Como a campanha opera

  • Os adversários criaram centenas de pacotes com padrões de nome como redirect-[a-z0-9]{6} e mad-x.x.x.x.x.x, atuando como infraestrutura efêmera para hospedar código JavaScript malicioso disponível pelo CDN unpkg.
  • As vítimas recebem arquivos HTML/JS disfarçados de documentos comerciais — faturas, projetos, correspondências — que, ao serem abertos em navegador, carregam scripts diretamente do CDN e redirecionam o usuário para páginas de roubo de credenciais.

Escopo e alvos

As empresas de segurança relatam que mais de 135 organizações foram atingidas por essa técnica, com foco nos setores industrial, tecnologia e energia na Europa. Snyk ampliou a investigação inicial da Socket e encontrou clusters adicionais de pacotes, sugerindo que a operação é maior do que as primeiras estimativas.

Técnicas de evasão

O código malicioso camufla-se por meio de uma interface falsa apelidada de “Cloudflare Security Check” que implementa múltiplos mecanismos anti-análise:

  • Detecção periódica de devtools (verificando tamanho de janela e acessos ao console) e ações de reação, como tornar a página em branco ou efetuar redirecionamento.
  • Interceptação de atalhos e eventos de contexto para bloquear F12, Ctrl+Shift+I e Ctrl+U, dificultando análise manual.
  • Frame-busting para forçar o contexto de navegação e completar o fluxo de redirecionamento após interação com elementos falsos da página.

Impacto e desafio para defensores

Ao reutilizar um CDN legítimo (unpkg.com) para servir código atacado, a campanha complica controles tradicionais de proteção que bloqueiam domínios maliciosos, pois o conteúdo é servido através de infraestrutura pública e confiável do ecossistema NPM. Ferramentas que confiam apenas em listas de domínios podem não detectar a carga útil hospedada dessa forma.

Recomendações observadas

As investigações recomendam elevar cautela sobre arquivos HTML/JS recebidos por e-mail, inspecionar o conteúdo carregado via CDNs e aplicar análises dinâmicas e heurísticas em portas de navegação e sandboxes do navegador. Para equipes de segurança de aplicações e desenvolvedores, validar dependências e monitorar padrões incomuns de publicação no NPM também são medidas importantes. As fontes enfatizam a necessidade de controles de treinamento e de bloqueio de anexos de formato web em gateways de e-mail quando possível.

Limitações

As matérias não trazem lista completa de pacotes envolvidos nem domínios de exfiltração usados nas campanhas; Snyk e Socket divulgaram clusters e padrões, mas as análises públicas ainda não apresentam um IOC consolidado e final.

Baseado em publicação original de Cyber Security News
Tags: #npm #supply-chain #phishing #cdn #unpkg #developers #snyk #socket #websecurity
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar