Hack Alerta

NPM 'duer-js' distribui 'Bada Stealer' e injeta payloads que visam Discord

Por Redação Hack Alerta Publicado em 12/02/2026 12:03 Cyber ataques Tempo de leitura: 2 min

Análise da JFrog e cobertura do Cyber Security News descrevem o pacote NPM 'duer‑js' que instala o 'Bada Stealer', um stealer multifásico que injeta o Discord, rouba tokens, senhas e carteiras cripto; a limpeza exige passos manuais além da desinstalação.

Pesquisadores reportados pelo Cyber Security News e pela JFrog identificaram o pacote malicioso 'duer‑js' no registro NPM, que entrega um stealer apelidado de 'Bada Stealer'. Embora o número de downloads até a publicação seja baixo (528), o pacote adota técnicas sofisticadas de múltiplas fases e estabelece persistência que dificulta remoção.

Arquitetura da ameaça e vetor

O ataque usa um instalador inicial disfarçado de utilitário legítimo. Após execução, o pacote baixa um segundo payload específico para infectar o cliente desktop do Discord: o componente injeta código no processo de inicialização do Discord para monitorar e exfiltrar dados sempre que o aplicativo for executado.

Dados visados e exfiltração

JFrog descreve que o stealer coleta tokens do Discord, informações de pagamento, listas de contatos, backups de 2FA, senhas salvas em navegadores (Chrome, Edge, Brave, Opera e Yandex via DPAPI) e arquivos de carteiras cripto (Exodus e extensões como MetaMask). A exfiltração é feita via webhook do Discord com método alternativo para upload em Gofile, assegurando redundância no envio dos dados.

Persistência e contestações

Os analistas apontam que apenas desinstalar o pacote não remove por completo a infecção: persistência é estabelecida em locais do sistema, exigindo limpeza manual de pastas e processos comprometidos. O atacante também encerra processos (navegadores, Telegram) para acessar arquivos bloqueados e compressa configurações de aplicações como Steam para exfiltrar.

Mitigação técnica recomendada

  • Fechar Discord, desinstalá‑lo via Configurações e remover pastas em %LOCALAPPDATA% (Discord, DiscordPTB, DiscordCanary) para eliminar código injetado.
  • Remover node.exe do diretório de inicialização (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) se presente.
  • Reinstalar Discord somente do site oficial e revogar tokens; alterar senhas armazenadas nos navegadores e habilitar MFA.
  • Verificar carteiras cripto e contas Steam para atividades suspeitas e, se necessário, migrar fundos/chaves privadas para ambientes limpos.

O que falta e recomendações

Relatórios públicos não divulgam atributos completos da infraestrutura dos operadores. Desenvolvedores que mantêm dependências devem auditar pacotes e evitar dependências não verificadas; organizações devem usar políticas de aprovação de pacotes e scanners de supply‑chain. JFrog continua a investigação e recomenda remoção imediata dos artefatos comprometidos.

Baseado em publicação original de Cyber Security News
Tags: #npm #malware #stealer #discord #windows #supply-chain #bada-stealer #jfrog #infosec
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar