Ataques simultâneos visam ecossistemas Go e NPM com pacotes maliciosos
Pesquisadores de segurança identificaram uma nova onda de ataques direcionados a dois ecossistemas de desenvolvimento de software, o Go e o NPM. Na linguagem Go, 11 pacotes maliciosos foram descobertos, projetados para infectar sistemas Windows e Linux. Segundo a analista de segurança Olivia Brown, da Socket, o código malicioso age de forma silenciosa: durante a execução, ele abre um shell, busca um segundo estágio de ataque em servidores de comando e controle (C2) e o executa diretamente na memória do sistema, tornando a detecção mais difícil. A falta de verificação rigorosa de pacotes no ecossistema Go, que permite importação direta do GitHub, facilita a disseminação dessas ameaças.
Nomes de pacotes como github.com/stripedconsu/linker e github.com/agitatedleopa/stm estão entre os vetores de infecção. Eles contêm um loader ofuscado capaz de coletar dados do sistema, como informações de navegadores, e se comunicar com os servidores C2. A análise do código e a reutilização dos mesmos servidores C2 sugerem que um único grupo de criminosos está por trás da operação, que afeta tanto servidores Linux quanto estações de trabalho Windows, usando ferramentas legítimas como certutil.exe para baixar os executáveis maliciosos.
NPM sob ameaça com “kill switch” destrutivo
Em um ataque paralelo, o ecossistema NPM também foi comprometido. Dois pacotes, naya-flore e nvlore-hsc, foram encontrados se passando por bibliotecas de socket para WhatsApp. Juntos, eles já somavam mais de 1.100 downloads e continham um “kill switch” (interruptor de eliminação) baseado em números de telefone indonésios. Uma vez ativado, esse mecanismo destrutivo usa o comando rm -rf *** para apagar todos os arquivos do sistema.
Os pacotes maliciosos do NPM também incluem uma função para exfiltrar dados do dispositivo e um token de acesso do GitHub, cuja finalidade ainda não foi esclarecida. Este cenário reforça um alerta da Fortinet: com a crescente dependência de repositórios de código aberto, a superfície de ataque na cadeia de suprimentos de software tende a aumentar. Os criminosos se aproveitam dessa dinâmica, utilizando técnicas como ofuscação e scripts de instalação discretos para evitar a detecção e causar o máximo de estrago possível.
“Os ataques a repositórios de código aberto continuam crescendo, com criminosos usando técnicas como ofuscação e scripts de instalação discretos para evitar detecção. A superfície de ataque na cadeia de suprimentos de software só tende a aumentar.”
Para não iniciados: entendendo os termos técnicos
Para quem não é da área de tecnologia, alguns termos do artigo podem ser complexos. De forma simplificada, podemos entender: o Go e o npm são linguagens de programação e gerenciadores de pacotes (como catálogos de software) usados por desenvolvedores para construir aplicativos. Já o GitHub é como uma rede social para programadores, onde eles compartilham e colaboram em códigos. Um socket é uma ferramenta de programação que permite que um computador se comunique com outro pela internet. Quando o texto fala em “pacotes maliciosos”, refere-se a programas que se disfarçam de ferramentas úteis, mas na verdade contêm códigos perigosos, criados para invadir computadores e roubar informações. A “cadeia de suprimentos de software” é a forma como esses pacotes são distribuídos, e um ataque a ela significa que os criminosos estão inserindo vírus em programas que milhões de pessoas usam, antes mesmo que cheguem aos usuários finais.
A situação demonstra a vulnerabilidade da cadeia de suprimentos de software e a necessidade de uma vigilância constante por parte de desenvolvedores e empresas. Os ataques simultâneos a dois dos ecossistemas mais populares do mundo do desenvolvimento destacam a urgência de fortalecer a segurança, desde a verificação rigorosa de pacotes até a implementação de protocolos de defesa mais robustos para proteger sistemas e dados contra ameaças cada vez mais sofisticadas.
Da redação com informações da Socket e Fortinet
Redação do Movimento PB [GME-GOO-12082025-0813-25F]