Hack Alerta

Tens de milhares de pacotes NPM maliciosos distribuem worm autorreplicante

Por Redação Hack Alerta Publicado em 13/11/2025 12:03 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisa aponta dezenas de milhares de pacotes NPM maliciosos que distribuem um worm autorreplicante; sinais no código e nomes aleatórios sugerem um ator indonésio. A cobertura recomenda auditoria de dependências, uso de registries privados e restrições em pipelines CI/CD.

Uma campanha massiva identificada em repositórios NPM distribui dezenas de milhares de pacotes maliciosos que carregam um worm autorreplicante, segundo investigação veiculada por um veículo de segurança.

O que foi observado

O relatório descreve uma campanha em larga escala: dezenas de milhares de pacotes NPM publicados com nomes aleatórios e código que implementa comportamento de worm, projetado para se propagar e alcançar novos alvos dentro do ecossistema de pacotes.

Atribuição e sinais técnicos

O texto indica que a campanha provavelmente foi orquestrada por um ator indonésio, com base em comentários encontrados no código e no padrão dos nomes aleatórios dos pacotes. Não há, porém, confirmação oficial de um órgão ou de uma empresa de segurança externa citada explicitamente como autora da descoberta.

Vetores de propagação

Embora os detalhes implementacionais completos não sejam reproduzidos no artigo, a estratégia típica desse tipo de campanha inclui publicação de pacotes com nomes que imitam bibliotecas populares e inclusão de scripts maliciosos em hooks de instalação (por exemplo, postinstall) para atingir ambientes de desenvolvedores e pipelines de CI/CD.

Impacto potencial

  • Comprometimento de cadeias de suprimentos de software (supply chain) em projetos que dependem de pacotes infectados.
  • Propagação automática entre projetos e contas por meio de dependências transitivas.
  • Possibilidade de execução de payloads adicionais para exfiltração, mineração ou criação de botnets em ambientes afetados.

Recomendações práticas

O artigo sugere medidas de defesa que equipes de desenvolvimento e segurança devem adotar:

  • Verificar dependências e adotar ferramentas de análise de software de terceiros para detectar pacotes maliciosos.
  • Isolar pipelines de CI/CD e restringir execução de scripts não confiáveis durante instalação de dependências.
  • Priorizar o uso de registries privados e políticas de bloqueio para pacotes não aprovados em ambientes de produção.
  • Monitorar publicações suspeitas e automatizar alertas para pacotes com nomes ou padrões anômalos.

Limitações das informações

O texto não lista hashes, nomes exatos dos pacotes ou domínios usados para controle e comando. A atribuição a um ator indonésio baseia-se em sinais contextuais (comentários no código e nomes aleatórios) e não em evidências técnicas definitivas divulgadas publicamente.

Conclusão

Campanhas em repositórios públicos como o NPM reforçam o risco sistêmico à cadeia de suprimentos de software. Times de desenvolvimento e security operations devem rever políticas de dependências e controles de pipeline para reduzir a superfície de ataque representada por pacotes de terceiros.

Baseado em publicação original de SecurityWeek
Tags: #npm #supply-chain #worm #malware #devsecops #ci-cd #dependencias #seguranca #npm-packages
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar