Hack Alerta

Hackers norte‑coreanos implantam 197 pacotes maliciosos no npm

Por Redação Hack Alerta Publicado em 28/11/2025 14:01 Riscos e Ameaças Tempo de leitura: 3 min

Atores associados à Coreia do Norte publicaram 197 pacotes maliciosos no npm usados para distribuir uma variante do OtterCookie; segundo a Socket, os artefatos foram baixados mais de 31.000 vezes e mesclam funcionalidades do BeaverTail e de versões anteriores do OtterCookie.

Pesquisadores de segurança reportaram que atores ligados à Coreia do Norte que operam a campanha conhecida como Contagious Interview continuam a inundar o registro npm com pacotes maliciosos, desta vez somando 197 novos pacotes que entregam variantes do malware OtterCookie.

Panorama e números

Segundo análise citada pelo The Hacker News, baseada em relatório da empresa Socket, os 197 pacotes identificados foram baixados mais de 31.000 vezes. Os artefatos são projetados para distribuir uma variante de OtterCookie que incorpora funcionalidades do BeaverTail e de versões anteriores do OtterCookie, ampliando capacidades de persistência e coleta.

Vetor e técnica de entrega

Os pacotes maliciosos foram publicados no registro npm com nomes que podem se passar por utilitários legítimos ou dependências menores. Quando instalados, esses pacotes executam código capaz de entregar o loader OtterCookie, que já foi associado a campanhas de exfiltração e atividade de espionagem de longa duração. As matérias não descrevem detalhadamente o payload final de cada pacote, mas indicam que o conjunto traz uma fusão de recursos de malwares anteriores ligados ao ator.

Impacto e alcance

Com mais de 31 mil downloads, o alcance operacional é relevante, especialmente em ambientes que usam dependências transitivas sem controles de verificação de integridade. O ecossistema npm volta a demonstrar vulnerabilidade a campanhas de multipublishing (publicação massiva) cujo objetivo é contaminar cadeias de dependência e ambientes de desenvolvimento/produção.

Mitigações recomendadas

  • Revisar dependências e remover pacotes desconhecidos ou não mantidos;
  • Implementar scanners de composição de software (SCA) que detectem pacotes maliciosos ou com assinaturas/IOCs conhecidos;
  • Exigir verificação de integridade (hashes) e preferir pacotes de provedores confiáveis;
  • Aplicar políticas de bloqueio em ferramentas CI/CD para prevenir instalação de pacotes não auditados em pipelines de produção.

Limitações das informações

As matérias citam o número de downloads e a assinatura técnica geral da nova variante de OtterCookie segundo a Socket, mas não disponibilizam listas públicas completas dos nomes dos pacotes ou indicadores de comprometimento. Também não há, nas fontes citadas, evidência detalhada de implantações em ambientes corporativos específicos.

Contexto e precedentes

A campanha se encaixa em um padrão recorrente de atores estatais usando registros de pacotes públicos para distribuir malware por meio de dependências. A combinação de multipublishing e técnicas de ofuscação tem sido observada em campanhas anteriores relacionadas ao mesmo ator. Para equipes de segurança, o caso reforça a necessidade de controles rígidos sobre dependências e de validações antes de empurrar builds para produção.

Fonte: Socket, apurada via The Hacker News.

Baseado em publicação original de The Hacker News
Tags: #npm #ottercookie #malware #socket #contagious-interview #supply-chain #beavertail #downloads #package-malicious
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar