Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware PhantomRaven

Malware PhantomRaven

Por Mezo em Malware
Traduzir Para:

Pesquisadores de cibersegurança descobriram um ataque altamente ativo à cadeia de suprimentos de software, visando o ecossistema npm. Mais de 100 pacotes maliciosos foram identificados, capazes de roubar credenciais confidenciais de desenvolvedores, incluindo tokens de autenticação, segredos de CI/CD e credenciais do GitHub, diretamente de máquinas comprometidas.

A campanha, com o codinome PhantomRaven, surgiu pela primeira vez em agosto de 2025. Desde então, expandiu-se para 126 bibliotecas npm e obteve mais de 86.000 instalações, demonstrando a rápida disseminação e adoção desses pacotes maliciosos.

Pacotes maliciosos passam despercebidos

Diversos dos pacotes sinalizados incluem:

  • instalador op-cli – 486 downloads
  • importações não utilizadas – 1.350 downloads
  • badgekit-api-client – 483 downloads
  • polyfill-corejs3 – 475 downloads
  • comentários do eslint – 936 downloads

O que torna o PhantomRaven particularmente insidioso é o uso de Dependências Dinâmicas Remotas (RDDs). Em vez de buscar o código no registro oficial do npm, os pacotes maliciosos apontam para uma URL HTTP personalizada (packages.storeartifact.com). Isso permite que o npm recupere dependências de uma fonte externa não confiável, burlando efetivamente as proteções do npmjs.com.

Os scanners de segurança tradicionais e as ferramentas de análise de dependências não conseguem detectar esses RDDs, pois os sistemas automatizados consideram que os pacotes têm '0 dependências'.

Como funciona o ataque

A cadeia de ataque começa assim que um desenvolvedor instala um dos pacotes aparentemente inofensivos. Os principais elementos incluem:

Execução do Hook de Pré-instalação : O pacote contém um script de ciclo de vida de pré-instalação que executa automaticamente a carga útil principal.

Recuperação Remota de Payload : O script busca a dependência maliciosa no servidor controlado pelo atacante.

Exfiltração de dados : Uma vez executado, o malware verifica o ambiente do desenvolvedor em busca de endereços de e-mail, coleta detalhes do ambiente CI/CD, identifica o sistema (incluindo o IP público) e envia os dados para um servidor remoto.

O atacante pode modificar o payload à vontade, inicialmente fornecendo código inofensivo para evitar a detecção, antes de enviar atualizações maliciosas assim que o pacote for adotado.

Explorando os pontos cegos humanos e da IA

A escolha dos nomes dos pacotes é deliberada. O agente malicioso utiliza uma tática conhecida como slopsquatting, na qual grandes modelos de linguagem (LLMs) criam nomes de pacotes inexistentes, mas com nomes plausíveis. Os desenvolvedores podem confiar nesses pacotes devido à sua nomenclatura realista, sem perceber a ameaça oculta.

Como observam os pesquisadores, o PhantomRaven destaca a crescente sofisticação dos atacantes:

  • Dependências dinâmicas remotas escapam à análise estática.
  • Os nomes de pacotes gerados por IA exploram a confiança dos desenvolvedores.
  • Os scripts de ciclo de vida são executados automaticamente, sem interação do usuário.

Esta campanha destaca como agentes maliciosos estão encontrando novas maneiras de ocultar código em ecossistemas de código aberto, explorando lacunas nas ferramentas de segurança tradicionais.

Por que o npm é um alvo principal

A facilidade de publicação de pacotes no ecossistema npm, combinada com a execução automática de scripts de pré-instalação, instalação e pós-instalação, o torna um alvo privilegiado. Os atacantes podem ocultar comportamentos maliciosos em scripts de ciclo de vida, muitas vezes sem o conhecimento do desenvolvedor, o que demonstra a necessidade de maior vigilância e práticas de segurança robustas em ambientes de desenvolvimento modernos.

Tendendo

Mais visto

Carregando...