São Paulo — InkDesign News — Uma recente campanha de phishing visando desenvolvedores JavaScript comprometeu vários pacotes populares do npm, incluindo o eslint-config-prettier. O incidente ocorreu quando um atacante enganou um mantenedor utilizando uma página de login falsa, hospedada em um domínio similar, npnjs.com.
Incidente e vulnerabilidade
O atacante conseguiu obter o token npm do mantenedor e, em seguida, lançou versões maliciosas de pacotes-chave diretamente pelo registro, contornando completamente os repositórios do GitHub. De acordo com a Socket, uma plataforma de segurança voltada para desenvolvedores, foram identificadas quatro versões do eslint-config-prettier (8.10.1, 9.1.1, 10.1.6, 10.1.7) que continham um script que executa durante a instalação, visando máquinas Windows. Este script tenta iniciar um arquivo node-gyp.dll utilizando o rundll32, permitindo que o atacante execute código arbitrário em sistemas afetados. A questão recebeu uma pontuação CVSS de 7.5, e um novo CVE, CVE-2025-54313, está sendo monitorado.
Impacto e resposta
Os pacotes afetados incluem, entre outros, synckit: 0.11.9, @pkgr/core: 0.2.8 e napi-postinstall: 0.3.1. Esses componentes são amplamente utilizados em projetos front-end e Node.js. Devido à confiabilidade em ferramentas automatizadas como Dependabot ou Renovate, versões comprometidas podem ter sido integradas a projetos sem que os desenvolvedores percebessem. Após a instalação, o código malicioso poderia proporcionar acesso remoto a máquinas Windows afetadas. Contudo, o mantenedor, ao tomar conhecimento da violação, agiu rapidamente, descontinuando e removendo as versões maliciosas, rotacionando as credenciais e solicitando apoio da npm para ajudar na limpeza.
Mitigações recomendadas
Socket tem monitorado a situação e continua a escanear por atividades suspeitas no registro npm, utilizando ferramentas que sinalizam novas versões com scripts de instalação inesperados ou cargas úteis binárias. Isso poderá ajudar os desenvolvedores a detectar problemas precocemente.
“Se um único token de mantenedor roubado pode inserir código malicioso em uma das ferramentas de linting mais utilizadas do npm, isso deve nos alertar sobre a gravidade da questão. Não se pode resolver isso apenas focando em pacotes individuais.”
(“If a single stolen maintainer token can push malicious code into one of the most widely used linting tools on npm, that should tell us something. You can’t fix this just by focusing on individual packages.”)— Nigel Douglas, Head of Developer Relations, Cloudsmith
Além disso, recomenda-se à implementação de melhores práticas, como a utilização de tokens escopados e autenticação de dois fatores (2FA), juntamente com salvaguardas em nível de registro e sistemas de gerenciamento de artefatos seguros que apoiem a imutabilidade de versões e a verificação de fontes confiáveis.
Embora medidas estejam sendo adotadas, riscos residuais persistem, exigindo vigilância contínua das dependências e processos de segurança robustos para prevenir futuros compromissos na cadeia de fornecimento.
Fonte: (Hack Read – Segurança Cibernética)
