Hack Alerta

Campanha 'Contagious Interview' usa npm/GitHub/Vercel para distribuir OtterCookie

Por Redação Hack Alerta Publicado em 27/11/2025 12:02 Riscos e Ameaças Tempo de leitura: 3 min

A campanha 'Contagious Interview' usa pacotes npm typosquatted, contas GitHub falsas e endpoints Vercel para entregar OtterCookie, um infostealer/RAT cross‑platform; foram identificados 197 pacotes e >31.000 downloads nessa onda. Vetor explora postinstall e eval de payloads.

Analistas identificaram uma campanha sustentada desde 10 de outubro de 2025 que distribui o malware OtterCookie via pacotes npm typosquatted, contas GitHub falsas e endpoints hospedados em Vercel, visando desenvolvedores e fluxos de trabalho Web3.

Panorama e alcance

Relatórios indicam pelo menos 197 novos pacotes maliciosos identificados durante a onda, totalizando >31.000 downloads apenas nesta fase. O modelo de operação combina criação de portfólios falsos no GitHub, publicação de nomes parecidos com bibliotecas legítimas no npm e uso de Vercel para hospedar payloads e scripts postinstall.

Mecanismo de ataque

Os pacotes (ex.: "tailwind-magic" visando "tailwind-merge") executam um script postinstall que consulta um endpoint do ator (ex.: tetrismic.vercel.app/api/ipcheck) via axios. O endpoint devolve um campo JSON chamado "model" contendo código JavaScript que é extraído e executado via eval dentro do processo Node.js, conferindo ao invasor privilégios completos no contexto do Node.

Funcionalidade do OtterCookie

OtterCookie combina funcionalidades de infostealer e RAT, com suporte cross‑platform (Windows, macOS, Linux). Ao ser executado, realiza checagens de ambiente para detectar sandboxes, fingerprint do host, estabelece comunicação bidirecional com C2 e emprega mecanismos de persistência — por exemplo, tarefas agendadas "NodeUpdate" e chaves em HKCU\Run\NodeHelper no Windows — além de spawnar processos Node.js desacoplados.

Coleta e exfiltração

O malware executa keylogging sistêmico, captura screenshots cada 5 segundos, exfiltra clipboard e varre recursivamente o sistema por arquivos com padrões relacionados a credenciais e carteiras (".env", "metamask", "seed"). Alvos incluem perfis de navegador (Chrome/Brave) e extensões de carteira: as fontes citam 42 extensões visadas, incluindo MetaMask, Phantom e Keplr. A infraestrutura de C2 reportada utiliza o IP 144.172.104.117 para agregação de dados e comando.

Implicações para desenvolvedores e projetos Web3

Como o vetor se integra ao fluxo esperável de npm install, a campanha diminui a eficácia de consciência do usuário. Ferramentas de CI/CD, scanners de dependências, validação de pacotes e regras para publicação automatizada tornam‑se controles essenciais. Projetos Web3, que frequentemente usam chaves locais e arquivos de configuração sensíveis, correm risco elevado de exfiltração de credenciais e fundos.

Recomendações

  • Verificar origem e reputação de pacotes antes de instalação; preferir verificação por checksum e assinatura quando possível.
  • Bloquear execuções de scripts de instalação em ambientes de build isolados e revisar artefatos antes de uso em produção.
  • Monitorar e rotacionar chaves/seed phrases, usar hardware wallets e práticas de segredo mínimo em ambientes de desenvolvimento.

Limitações

As informações combinam investigação de infraestrutura e amostras mas não apresentam lista exaustiva de todos os pacotes; portanto, equipes devem assumir exposição potencial e auditar dependências.

Baseado em publicação original de Cyber Security News
Tags: #ottercookie #npm #typosquatting #vercel #github #infostealer #web3 #exfiltracao #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar