São Paulo — InkDesign News — Pesquisadores de segurança cibernética alertam sobre dois pacotes npm maliciosos que se disfarçam como utilitários legítimos para desenvolvedores, permitindo ataques que podem eliminar totalmente sistemas de produção. Esses pacotes contêm backdoors que, quando ativados, executam comandos de exclusão de arquivos comprometedores.
Vetor de ataque
Os pacotes, nomeados express-api-sync e system-health-sync-api, foram descobertos pela equipe de pesquisa da Socket Security. Ambos registram silenciosamente endpoints ocultos que, ao serem ativados com as credenciais corretas, realizam a destruição de diretórios inteiros da aplicação.
Impacto e resposta
A análise inicial revela que o express-api-sync é uma ferramenta rudimentar que espera pelo comando de “destruição” após uma solicitação HTTP. Ao ser acionada, ela elimina todo o código-fonte, arquivos de configuração e bancos de dados da aplicação, garantindo que “os pacotes não estão roubando criptomoedas ou credenciais — eles estão deletando tudo” (
“os pacotes não estão roubando criptomoedas ou credenciais — eles estão deletando tudo”
(“these packages don’t steal cryptocurrency or credentials — they delete everything.”)— Kush Pandya, Engenheiro de Segurança, Socket
). O system-health-sync-api é mais sofisticado, coletando informações sobre o sistema e ajustando comandos de destruição conforme o sistema operacional utilizado, tornando-se um “canivete suíço da destruição”.
Análise e recomendações
Com os ataques evoluindo para priorizar a destruição completa de sistemas, a mitigação deve focar em aprimorar a gestão de acesso à identidade para todos os envolvidos no processo de desenvolvimento de software. A Socket recomenda que as organizações mantenham atenção em indícios de como os pacotes operam, uma vez que futuros ataques deverão incluir o mapeamento da infraestrutura da organização-alvo antes de executar os comandos maliciosos.
Prevenir tais compromissos requer vigilância contínua e rigor na validação das dependências de software utilizadas, visto que pacotes maliciosos que visam ecossistemas de middleware estão se tornando uma tendência para ataques mais complexos.
Fonte: (Dark Reading – Segurança Cibernética)
