Um novo pacote malicioso do npm, denominado undicy-http, foi identificado comprometendo máquinas de desenvolvedores que o instalaram acidentalmente. O pacote se faz passar pela biblioteca oficial undici, que é o cliente HTTP padrão do Node.js, mas não possui funcionalidade legítima. Em vez disso, ele executa um ataque em duas etapas capaz de roubar credenciais de navegador, sequestrar sessões ativas e fornecer acesso remoto em tempo real à tela, microfone e webcam da vítima.
Descoberta e escopo do ataque
Os pesquisadores de segurança da JFrog identificaram o pacote malicioso em 31 de março de 2026. A análise do campo do autor do pacote, ConsoleLofy, corresponde diretamente ao dicionário de aliases documentado do grupo de ameaças conhecido como LofyGang. Mensagens de log em português e strings codificadas no código, como "Lofygang Started", confirmam as raízes brasileiras do grupo.
Esta campanha representa um salto significativo em relação aos ataques anteriores do LofyGang, que utilizavam apenas JavaScript para roubar tokens do Discord e dados de cartões de crédito. O novo pacote entrega dois payloads que funcionam em paralelo, aumentando drasticamente o potencial de dano e a persistência no sistema comprometido.
Vetor e exploração técnica
O pacote (versão 2.0.0) é projetado para explorar a confiança dos desenvolvedores em bibliotecas populares. O script principal (index.js) verifica imediatamente se está sendo executado como um processo oculto. Se não estiver, ele escreve um arquivo VBScript na pasta temporária do sistema e relança a si mesmo usando wscript.exe com uma janela oculta, deixando nenhum rastro visível da execução.
O segundo payload é um executável nativo do Windows chamado chromelevator.exe. Este componente injeta-se nos processos do navegador em nível de sistema operacional para roubar senhas, cookies, números de cartões de crédito, IBANs e tokens de sessão de mais de 50 navegadores e 90 extensões de carteira de criptomoedas. O chromelevator.exe também corresponde a uma regra de detecção YARA associada ao framework de ataque mais amplo da Campanha GlassWorm.
Impacto e alcance
O alcance do ataque vai além dos dados do navegador. O malware visa dados de sessão de seis plataformas principais: Roblox, Instagram, Spotify, TikTok, Steam e Telegram. Além disso, ele ataca 28 carteiras de criptomoedas de desktop, seis integrações de carteiras de hardware, incluindo Ledger e Trezor, e mais de 90 extensões de carteira de navegador.
Os dados roubados são transmitidos por dois canais simultaneamente: um webhook do Discord e um bot do Telegram. Arquivos grandes são primeiro enviados para serviços de hospedagem como gofile.io ou catbox.moe antes que os links de download alcancem os atacantes. Isso dificulta a detecção e o bloqueio imediato do tráfego de exfiltração.
Medidas de mitigação recomendadas
Os desenvolvedores devem executar imediatamente o comando npm uninstall undicy-http e encerrar todos os processos node e wscript.exe. É necessário remover a tarefa agendada ScreenLiveClient e sua chave de registro associada. Os arquivos VBS devem ser excluídos da pasta temporária.
Recomenda-se a reinstalação de todos os clientes do Discord para limpar o código injetado. Todas as senhas, tokens do Discord e credenciais de sessão para as plataformas afetadas devem ser rotacionadas. As criptomoedas devem ser movidas para novas carteiras com frases semente frescas em uma máquina limpa. Os endereços C2 24[.]152[.]36[.]243 e o domínio amoboobs[.]com devem ser bloqueados.
Se o chromelevator.exe foi executado, a reimagem do sistema é aconselhada, pois a limpeza manual sozinha não pode garantir a confiança total do sistema. A detecção de anomalias no tráfego de saída e a verificação de arquivos de áudio WAV inesperados também são recomendadas.
Perspectivas e tendências
A evolução das táticas do LofyGang indica uma profissionalização crescente de grupos criminosos com raízes no Brasil. O uso de executáveis nativos e técnicas de evasão avançadas, como syscalls diretos para contornar hooks de EDR, sugere um aumento na sofisticação das ameaças direcionadas ao ecossistema de desenvolvimento. A monitorização contínua dos repositórios de pacotes e a verificação de integridade das dependências são essenciais para mitigar esses riscos.