Campanha maliciosa carrega centenas de pacotes infectados no repositório NPM
Esses pacotes possuem nomes que parecem legítimos. Após a instalação, o malware é executado na memória do dispositivo e se configura para rodar sempre que o sistema for reiniciado. Ele então se conecta ao endereço da rede Ethereum e começa a coletar informações do sistema, como detalhes sobre a CPU, GPU, quantidade de memória, nome de usuário e versão do sistema operacional, enviando esses dados de volta para os atacantes. O código também pode buscar arquivos adicionais, aumentando o impacto do ataque.
Essa técnica faz parte de uma abordagem chamada typosquatting, onde atacantes criam pacotes com nomes semelhantes aos de bibliotecas legítimas para enganar desenvolvedores. Nos últimos anos, essa prática tem se tornado mais comum, com o objetivo de infectar desenvolvedores e usuários com código malicioso. Recomenda-se atenção ao verificar nomes de pacotes antes de instalá-los.