Campanha PhantomRaven ataca repositório npm com 88 pacotes maliciosos
Campanha PhantomRaven ataca repositório npm com 88 pacotes maliciosos, exfiltrando dados de desenvolvedores JavaScript.
Tag
Tag: dependencias
12 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a dependencias.
Pacotes dYdX no npm e PyPI foram comprometidos para entregar wallet stealers
Pesquisadores detectaram pacotes comprometidos no npm e PyPI que entregam wallet stealers e permitem execução remota. O feed cita versões comprometidas do @dydxprotocol/v4-client-js (3.4.1, 1.22.1, 1.15.2, 1.0.31); detalhes PyPI e IOCs não constam no resumo.
Pacote malicioso no PyPI imita SymPy e instala minerador XMRig
Um pacote malicioso identificado como "sympy-dev" no PyPI imitou a descrição do projeto SymPy para induzir à instalação e executou o minerador XMRig em hosts Linux. A técnica explora confiança em dependências públicas; recomenda-se verificação de origem, isolamento de pipelines e revisão de dependências em ambientes de produção.
Falha crítica em binary-parser (Node.js) permite injeção de código
CVE-2026-1245 afeta a biblioteca binary-parser (Node.js) em versões anteriores a 2.3.0: a geração dinâmica de código usando Function permite injeção de JavaScript quando definições de parser são construídas a partir de entradas não confiáveis. O vendor liberou a versão 2.3.0; auditoria de uso dinâmico e atualização imediata são recomendadas.
Novo ramo do worm Shai‑Hulud detectado em pacote do npm
Pesquisadores encontraram uma nova variante do worm Shai‑Hulud dentro do pacote npm "@vietmoney/react-big-calendar". A atualização reativou comportamento malicioso, alertando para riscos de supply chain em projetos que não travam ou auditam dependências. Recomenda‑se auditoria de dependências e SCA em pipelines CI.
Ataques à cadeia de suprimentos em GitHub Actions aumentaram em 2025
Pesquisadores no Black Hat Europe alertaram para o aumento de ataques que exploram GitHub Actions em 2025 e defenderam um modelo de responsabilidade compartilhada entre plataformas e desenvolvedores. A recomendação inclui revisão de workflows, restrição de permissões e auditoria contínua de pipelines.
IBM corrige mais de 100 vulnerabilidades, maioria em dependências de terceiros
A IBM publicou correções para mais de 100 vulnerabilidades na semana, a maioria em dependências de terceiros. O feed não lista CVEs ou produtos; equipes devem consultar o advisory oficial para priorizar patches.
Exploração do React2Shell (CVE-2025-55182) aumenta entre atacantes
Relatórios apontam aumento nas tentativas de exploração de CVE‑2025‑55182 (React2Shell). O resumo não detalha vetores, patches ou grupos atacantes; recomenda‑se auditar dependências JavaScript, checar comunicados oficiais e monitorar tentativas de exploração.
React2Shell: exploração em circulação esperada para CVE‑2025‑55182 no React
CVE‑2025‑55182, apelidada React2Shell em algumas coberturas, é uma falha crítica no React cuja exploração em ambiente real é esperada, mas afeta apenas instâncias que adotaram um recurso novo; desenvolvedores devem revisar dependências e aplicar patches.
Pacote malicioso no PyPI já teve ~950 downloads e rouba dados de criptomoedas
Pesquisadores encontraram um pacote malicioso no PyPI que imita o pyspellchecker e, via um índice codificado, baixa um RAT para extrair credenciais e dados de carteiras de criptomoedas; até o momento o artefato teve cerca de 950 downloads. Recomendações incluem auditoria de dependências e bloqueio de infraestrutura de C2.