175 pacotes npm maliciosos com 26.000 downloads usados em campanha de phishing de credenciais

Pesquisadores de segurança identificaram uma campanha incomum que aproveita o ecossistema npm como infraestrutura para phishing. Ao invés de entregar código malicioso via instalação, os atacantes publicaram 175 pacotes com nomes aleatórios que hospedam scripts de redirecionamento e arquivos HTML que, quando abertos, encaminham a vítima para páginas fraudulentas projetadas para capturar credenciais da Microsoft. A técnica transformou o registro público do npm e o CDN unpkg em meios de distribuição, explorando a confiança que equipes e ferramentas depositam nesses serviços.

O funcionamento é automatizado e engenhoso. Um componente Python cria pacotes com nomes do tipo redirect-xxxxxx e injeta o endereço de e mail da vítima junto com a URL de phishing. Em seguida, o pacote disponibilizado no registro é referenciado por um arquivo HTML que aponta para o CDN. Ao abrir esse HTML em um navegador, o JavaScript carregado do unpkg redireciona imediatamente para a página de credenciais, pré preenchendo o campo de e mail e aumentando dramaticamente a aparência de legitimidade do ataque. Foram encontradas mais de 630 páginas mascaradas como ordens de compra, especificações técnicas ou documentos de projeto.

A escala e a resiliência da operação chamam atenção. Os pacotes somaram cerca de 26 mil downloads, número que provavelmente inclui pesquisadores e scanners automatizados após a divulgação, mas que também reflete o alcance da infraestrutura. Publicando os artefatos por meio de várias contas e gerando HTMLs específicos por vítima, os atacantes criaram um sistema de baixo custo e alto impacto que se sustenta justamente por utilizar serviços confiáveis ao invés de servidores próprios facilmente bloqueáveis.

Esse cenário traz desafios de detecção e mitigação. Ferramentas que verificam pacotes instalados dificilmente sinalizam perigo, pois não há comportamento malicioso ao instalar os artefatos. A superfície de ataque se desloca para a forma como arquivos HTML são entregues e abertos por usuários, muitas vezes por e mail ou por armazenamento em nuvem. Para defender-se, equipes de segurança precisam monitorar não só dependências e bibliotecas, mas também inspecionar conteúdos estáticos recebidos por colaboradores, bloquear domínios de phishing conhecidos, aplicar políticas de isolamento para abrir arquivos externos e treinar usuários para não abrir HTMLs recebidos de fontes não verificadas.

A lição é clara: a confiabilidade presumida em infraestruturas públicas pode ser explorada para criar vetores de ataque altamente escaláveis. Desenvolvedores e equipes de segurança devem considerar o npm e o unpkg como parte do perímetro a ser monitorado, implementando controles de governança de pacotes, validação de conteúdos e filtragem de e mail que detecte páginas especialmente elaboradas para phishing. Só assim será possível reduzir a eficácia de playbooks que se apoiam na reputação de serviços legítimos para enganar vítimas e colher credenciais.

Fonte: https://thehackernews.com/2025/10/175-malicious-npm-packages-with-26000.html