Pesquisadores de cibersegurança identificaram uma campanha sofisticada de phishing que utiliza o ecossistema NPM como vetor de ataque, infectando desenvolvedores durante a instalação de pacotes. Diferente de abordagens tradicionais, a operação explora a CDN confiável unpkg.com para entregar scripts maliciosos diretamente pelo navegador, alcançando funcionários de mais de 135 organizações, principalmente dos setores industrial, tecnológico e de energia na Europa.
Leia também
Falha no GitHub Copilot Chat
TeamViewer integra recursos ao Agentforce IT Service da Salesforce
Os operadores realizaram mais de 175 pacotes NPM específicos, identificados por padrões como “redirect-(a-z0-9){6}” e variantes “mad-xxxxxx”, que simulam legitimidade no registro do NPM. Em vez de comprometer o usuário no momento da instalação do pacote, os atacantes distribuem arquivos HTML disfarçados de documentos comerciais, que, ao serem abertos, acionam a execução automática de scripts maliciosos pela CDN, burlando controles de segurança convencionais.
A carga maliciosa utiliza técnicas avançadas de evasão, exibindo uma interface falsa de “Cloudflare Security Check” com contramedidas para dificultar inspeção e análise. O código implementa métodos de anti-depuração e bloqueio ao acesso de ferramentas de desenvolvedor (como F12, Ctrl+Shift+I e Ctrl+U), além de impedir a análise pelo console do navegador ao monitorar comandos suspeitos e manipular objetos de console, tornando a inspeção técnica quase impossível.
A estratégia demonstra uma evolução preocupada na exploração do ecossistema de código aberto, utilizando infraestrutura legítima para operações de phishing com alto grau de sigilo e persistência, enquanto explora nova dinâmica para ataques à cadeia de suprimentos.
