{"id":20287,"date":"2026-06-25T18:35:39","date_gmt":"2026-06-25T21:35:39","guid":{"rendered":"https:\/\/fenati.org.br\/ataque-no-npm-pacote-falso-malware-desenvolvedores\/"},"modified":"2026-07-02T23:19:09","modified_gmt":"2026-07-03T02:19:09","slug":"ataque-no-npm-pacote-falso-malware-desenvolvedores","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/ataque-no-npm-pacote-falso-malware-desenvolvedores\/","title":{"rendered":"Ataque no npm usa pacote falso para instalar malware em desenvolvedores"},"content":{"rendered":"<p><strong>Ataque no npm &#8211;<\/strong> Pesquisadores de seguran\u00e7a identificaram uma nova campanha maliciosa envolvendo pacotes falsos no reposit\u00f3rio npm, amplamente utilizado por desenvolvedores para compartilhar e instalar ferramentas de c\u00f3digo. O ataque foi detalhado pela empresa JFrog, que encontrou tr\u00eas pacotes usados para comprometer m\u00e1quinas com sistema <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Microsoft_Windows\" target=\"_blank\" rel=\"noopener nofollow\">Windows<\/a> e roubar credenciais salvas no navegador.<\/p>\n<p>Segundo o relat\u00f3rio, os pacotes foram criados para se passar por ferramentas leg\u00edtimas e populares, aumentando as chances de enganar desenvolvedores durante a instala\u00e7\u00e3o. Um dos arquivos maliciosos, chamado postcss-minify-selector-parser, imita de forma quase id\u00eantica o nome de uma biblioteca leg\u00edtima muito utilizada, o postcss-selector-parser, que registra milh\u00f5es de downloads semanais.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/trabalhadores-da-hyundai-greve-robos-producao\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Trabalhadores da Hyundai aprovam greve em rea\u00e7\u00e3o a rob\u00f4s na produ\u00e7\u00e3o<\/strong><\/a><\/p>\n<p>Al\u00e9m da semelhan\u00e7a no nome, o pacote falso tamb\u00e9m reproduz palavras-chave da ferramenta original e chega a listar o pacote verdadeiro como depend\u00eancia, o que ajuda a mascarar sua atividade em verifica\u00e7\u00f5es iniciais de seguran\u00e7a.<\/p>\n<p>O material malicioso foi publicado por um usu\u00e1rio identificado como abdrizak, junto de outros dois pacotes relacionados: postcss-minify-selector e aes-decode-runner-pro.<\/p>\n<p><strong>Ataque em etapas<\/strong><\/p>\n<p>De acordo com a an\u00e1lise, a infec\u00e7\u00e3o acontece em v\u00e1rias fases. Ao ser instalado, o pacote n\u00e3o executa fun\u00e7\u00f5es esperadas de uma biblioteca comum. Em vez disso, ele acessa um conte\u00fado criptografado presente em um arquivo de configura\u00e7\u00e3o e o decodifica usando AES-256-GCM, liberando instru\u00e7\u00f5es ocultas.<\/p>\n<p>Esse processo ativa um script em PowerShell chamado settings[.]ps1, que baixa um arquivo comprimido de um dom\u00ednio externo que simula um site de drivers da Nvidia. O arquivo \u00e9 disfar\u00e7ado como uma atualiza\u00e7\u00e3o do Windows e \u00e9 extra\u00eddo em uma pasta tempor\u00e1ria do sistema.<\/p>\n<p>Na sequ\u00eancia, outro script (update.vbs) executa um ambiente Python oculto e carrega m\u00f3dulos adicionais, como audiodriver.pyd e command.pyd, culminando na instala\u00e7\u00e3o de um trojan de acesso remoto (RAT), capaz de permitir controle total da m\u00e1quina infectada.<\/p>\n<p><strong>Acesso remoto e roubo de credenciais<\/strong><\/p>\n<p>Ap\u00f3s instalado, o malware se fixa no sistema por meio do Registro do Windows, garantindo sua execu\u00e7\u00e3o autom\u00e1tica sempre que o computador \u00e9 iniciado. O c\u00f3digo tamb\u00e9m verifica se est\u00e1 sendo executado em ambiente virtual, uma t\u00e9cnica comum usada por pesquisadores de seguran\u00e7a, e encerra sua execu\u00e7\u00e3o caso detecte esse tipo de an\u00e1lise.<\/p>\n<p>O principal alvo do ataque \u00e9 o Google Chrome. Um dos m\u00f3dulos maliciosos consegue acessar bancos de dados de login armazenados no navegador e extrair nomes de usu\u00e1rio e senhas, contornando mecanismos de prote\u00e7\u00e3o.<\/p>\n<p>Al\u00e9m disso, o trojan permite execu\u00e7\u00e3o de comandos remotos e transfer\u00eancia de arquivos entre o dispositivo infectado e servidores controlados pelos atacantes.<br \/>\nRecomenda\u00e7\u00f5es de seguran\u00e7a<\/p>\n<p>A JFrog recomenda que desenvolvedores removam imediatamente os tr\u00eas pacotes identificados. Tamb\u00e9m orienta a verifica\u00e7\u00e3o de pastas tempor\u00e1rias do sistema em busca de arquivos com nomes como winPatch, .store ou .host.<\/p>\n<p>Como medida adicional, \u00e9 indicado que senhas salvas em navegadores sejam alteradas.<\/p>\n<p>Os pesquisadores alertam que o caso evidencia como pacotes aparentemente inofensivos podem esconder cadeias complexas de infec\u00e7\u00e3o. A recomenda\u00e7\u00e3o \u00e9 redobrar a aten\u00e7\u00e3o com depend\u00eancias que imitam ferramentas conhecidas, j\u00e1 que pequenas varia\u00e7\u00f5es de nomes podem ser usadas como vetor de ataque.<\/p>\n<h5><strong>Acumule cashback e transfira o dinheiro direto para sua conta!<\/strong><\/h5>\n<p>A Bee Fenati segue em expans\u00e3o para garantir aos seus usu\u00e1rios cada vez mais benef\u00edcios. Agora a plataforma conta com a Benef\u00edcios Rede Bee, que re\u00fane descontos em dezenas de grandes marcas, com muitas delas oferecendo cashback, ou seja, o retorno de um valor da sua compra que poder\u00e1 ser transferido para sua conta!\u00a0<a href=\"https:\/\/fenati.org.br\/sabia-que-bee-fenati-garante-mundo-vantagens-voce\/\"><strong>(Saiba mais aqui)<\/strong><\/a><\/p>\n<p>Baixe o aplicativo nas lojas<a href=\"https:\/\/apps.apple.com\/br\/app\/bee-fenati\/id6749653741\" target=\"_blank\" rel=\"nofollow noopener\">\u00a0<strong>App Store<\/strong><\/a>\u00a0(iOS) e\u00a0<a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.redebee.redebeefenati\" target=\"_blank\" rel=\"nofollow noopener\"><strong>Play Store<\/strong><\/a>\u00a0(Android) e aproveite agora!<\/p>\n<p>A rede oferece em um \u00fanico ambiente ofertas em \u00e1reas como educa\u00e7\u00e3o, compras, viagens, lazer, servi\u00e7os, tecnologia e muito mais. Dentre as marcas parceiras est\u00e3o Magalu, Renner, Drogasil, C&amp;A, Casas Bahia, Petz, e outras dezenas de op\u00e7\u00f5es que oferecem tudo que voc\u00ea precisa na sua rotina!<\/p>\n<p>Al\u00e9m de poderem aproveitar os descontos oferecidos pelas marcas parceiras, os s\u00f3cios e contribuintes dos sindicatos filiados \u00e0 Fenati (Federa\u00e7\u00e3o Nacional dos Trabalhadores em Tecnologia da Informa\u00e7\u00e3o) podem receber de volta um percentual a cada compra que realizarem em parceiros que oferecem o cashback.<\/p>\n<p>Este valor fica em uma carteira digital dentro da plataforma e, a partir de R$ 20 reais acumulados em cashback, o trabalhador pode enviar o dinheiro direto para sua conta banc\u00e1ria! Na pr\u00e1tica, a ferramenta permite que s\u00f3cios e contribuintes dos sindicatos filiados \u00e0 Fenati ZEREM o valor da sua contribui\u00e7\u00e3o assistencial e\/ou associativa!<\/p>\n<p>Atualmente, o valor da contribui\u00e7\u00e3o \u00e9 de R$ 32,50 por m\u00eas para s\u00f3cios e R$ 35 por m\u00eas para contribuintes, ou seja, \u00e9 poss\u00edvel recuperar todo esse valor e ainda acumular muito mais \u2013 tudo isso contribuindo para fortalecer a categoria e transformando as compras do dia a dia em ganho real.<\/p>\n<h5><strong>Encontre o emprego dos seus sonhos com a Bee Hunter<\/strong><\/h5>\n<p>S\u00f3cios e contribuintes agora contam tamb\u00e9m com uma ferramenta para se aproximarem das melhores oportunidades do mercado de trabalho: a Bee Hunter, uma plataforma inteligente da Bee Fenati que utiliza tecnologia e intelig\u00eancia artificial para tornar a busca por vagas mais eficiente, estrat\u00e9gica e conectada ao perfil de cada usu\u00e1rio.\u00a0<a href=\"https:\/\/fenati.org.br\/encontre-o-emprego-dos-seus-sonhos-com-a-bee-hunter\/\"><strong>(Saiba mais aqui)<\/strong><\/a><\/p>\n<p>A partir do cadastro do curr\u00edculo, a plataforma utiliza intelig\u00eancia artificial para analisar informa\u00e7\u00f5es como experi\u00eancias, compet\u00eancias e objetivos profissionais, cruzando esses dados com vagas dispon\u00edveis em empresas parceiras como Vagas.com, Sinergy e Trampos e identificando as posi\u00e7\u00f5es que mais combinam com o perfil do usu\u00e1rio.<\/p>\n<p><a href=\"https:\/\/beehunter.com.br\/\" target=\"_blank\" rel=\"nofollow noopener\"><strong>Entre agora na Bee Hunter e encontre seu emprego dos sonhos!<\/strong><\/a><\/p>\n<p>A Bee Hunter ainda vai al\u00e9m e auxilia o profissional a estar preparado para a vaga dos sonhos! Nossa intelig\u00eancia analisa o perfil e sugere cursos da Fenati Academy que v\u00e3o ajud\u00e1-lo a ampliar sua qualifica\u00e7\u00e3o e elevar a ader\u00eancia \u00e0s vagas desejadas.<\/p>\n<p>Dispon\u00edvel dentro da Bee Fenati, a Fenati Academy re\u00fane mais de 8 mil op\u00e7\u00f5es de cursos nas \u00e1reas mais pedidas pelo mercado com acesso gratuito para s\u00f3cios e contribuintes por meio de parcerias com a Oracle University, a Cisco Networking Academy e o Sindplay, todos com CERTIFICA\u00c7\u00d5ES GRATUITAS ou com descontos exclusivos.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Magnific)<\/strong><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pesquisadores identificam pacotes maliciosos que se passam por ferramentas populares para atingir desenvolvedores no Windows<\/p>","protected":false},"author":6,"featured_media":20288,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-20287","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/20287","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=20287"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/20287\/revisions"}],"predecessor-version":[{"id":20530,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/20287\/revisions\/20530"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/20288"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=20287"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=20287"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=20287"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}