Um novo capítulo na longa história de ataques à cadeia de fornecimento de desenvolvedores saiu à luz e deixa claro que os vetores de compromisso continuam evoluindo rapidamente. Pesquisadores em segurança identificaram uma campanha ativa que usa pacotes maliciosos publicados em npm como veículos para roubar credenciais, chaves de criptomoedas e, acima de tudo, para se espalhar como um verme por ambientes de desenvolvimento. A assinatura que o informou tem batizado a operação como SANDWORM_MODE e documentou uma mistura complexa de técnicas orientadas para maximizar o alcance e os danos.
A pesquisa técnica publicada por Socket descreve como os atacantes agruparam pelo menos 19 pacotes npm, publicados desde duas alias de editor, em uma campanha de typosquatting e distribuição intencionada. Entre os nomes detectados encontram-se pacotes com marcas suspeitas como claud-code, cloude, crypto-locale, crypto-reader-info, detect-cache, node-native-bridge, opencraw, secp256, e outros que emulam utilitários legítimos para enganar desenvolvedores e máquinas. Além disso, foram identificados quatro pacotes “dormidos” que, por agora, não contêm carga maliciosa, sugerindo reservas operacionais por parte do operador.
O que distingue SANDWORM_MODE é a combinação de componentes: um primeiro estádio que atua de “recolector” inicial e outro estádio secundário que, após um período de latência, ativa capacidades avançadas. Os módulos encontrados permitem capturar tokens de acesso do GitHub e npm, segredos de ambientes de CI/CD, variáveis de ambiente, arquivos de configuração de npm e, em alguns casos, chaves privadas e credenciais associadas a carteiras. O desenho é deliberado: a primeira etapa abre a porta e a segunda explora o acesso para realizar uma coleta maciça e propagação.
A campanha não se limita à típica execução em instalações locais. Os pacotes incluem um GitHub Action manipulado que extrai segredos de pipelines e envia-os fora do ambiente afetado por HTTPS, com um mecanismo de apoio que usa DNS para garantir a exfiltração mesmo se os canais convencionais falharem. Também há código que atua como um interruptor destrutivo: se o malware perde acesso aos seus repositórios de controle, você pode tentar apagar conteúdos do diretório pessoal do usuário; esse mecanismo de remoção vem desativado por defeito nas amostras analisadas, mas sua mera existência é alarmante.
Outro ponto crítico é a orientação explícita para assistentes de programação e ferramentas baseadas em modelos de linguagem. Os pesquisadores descrevem um módulo chamado "McpInject" que monta um servidor falso compatível com o Model Context Protocol (MCP) e o registra como se fosse um fornecedor de ferramentas legítimo. Esse servidor oferece “herramientas” que ocultam injeções de prompt concebidas para ler arquivos sensíveis – como chaves SSH, credenciais em .aws ou arquivos .npmrc e .env – e prepará-los para sua exfiltração. Segundo o relatório, as implementações-alvo incluem assistentes e editores populares como Claude Code, Claude Desktop, Cursor, Microsoft Visual Studio Code e outras Integrações modernas, o que converte as cadeias de ferramentas de IA em uma nova frente de ataque. Mais informações sobre os conceitos de ferramentas do MCP podem ser consultados na documentação oficial: Model Context Protocol — ferramentas.
Além disso, foi detectada a intenção de o malware utilizar técnicas para evitar análises estáticas e dinâmicas: os operadores incorporaram uma unidade polimórfica capaz de invocar localmente um modelo (na análise figurou a referência ao projeto DeepSeek Coder) com o objetivo de renomear variáveis, reescrever fluxo de controle, inserir código lixo e codificar cadeias. Embora essa funcionalidade aparece desativada nas amostras atuais, sua presença indica que os autores planejam sofisticar as versões futuras para se tornar menos detectáveis.
A arquitetura da campanha também contempla um atraso programado: o segundo estádio não se ativa imediatamente, mas após, no mínimo, 48 horas e com uma aleatorização adicional por equipe que pode somar até outras 48 horas. Esse comportamento reduz a probabilidade de a exploração ser detectada nas análises de instalação imediatas e facilita a infiltração sustentada antes de a fase mais agressiva ser executada.
Paralelamente a esta descoberta, outras assinaturas de segurança relataram pacotes npm maliciosos com finalidades semelhantes. Veracode descreveu outro engano com uma carga escondida dentro de uma imagem PNG que acaba executando um RAT, tanto que JFrog Ele descreve um pacote que se faz passar por uma utilidade legítima de ESLint e que desencadeia uma cadeia de infecções multimodal, instalando agentes para Windows, macOS e Linux e aproveitando frameworks de C2 conhecidos. Esses achados mostram um padrão: as livrarias e extensões falsas buscam mecanismos de persistência e extração de dados que vão muito além de uma simples instalação maliciosa. As análises de Veracode podem ser lidas aqui: Veracode — Malicious npm package.
Também há vetores centrados em editores: Checkmarx identificou uma extensão do Visual Studio Code que suplanta uma extensão oficial para Solidity e que instala silenciosamente cargas úteis como ScreenConnect e portas traseiras em diferentes plataformas. Este tipo de enganos contra comunidades de nicho (neste caso, desenvolvedores de contratos inteligentes) destaca como os atacantes escolhem objetivos onde o impacto e a confiança implícita em ferramentas específicas podem facilitar a infecção. O seu relatório pode ser consultado em: Checkmarx — Relatório sobre extensão maliciosa.
O que podem fazer as equipes e desenvolvedores agora mesmo? Em primeiro lugar, é imprescindível assumir que qualquer pacote suspeito detectado em projetos deve ser eliminado e que as credenciais que puderam ser expostas (tokens de npm, segredos do GitHub Actions, chaves de CI/CD) devem ser quebradas imediatamente. Também é recomendável auditar repositórios em busca de mudanças inesperadas em arquivos como package.json, arquivos de bloqueio e fluxos de trabalho em .github/workflows, e revogar tokens com permissões amplas. Para além da resposta imediata, convém endurecer o controle de confiança na cadeia de fornecimento: exigir revisões de dependências, preferir pacotes com mantenedores reconhecidos e com história, usar assinaturas de pacotes ou verificações reprodutíveis quando possível, e aplicar o princípio de menor privilégio em Tokens e secretos.
Os equipamentos de segurança também devem monitorizar atividade anómala em contas do GitHub e em registros de CI, introduzir análises de dependência automatizadas e usar sandboxing para instalações desconhecidas. Activar autenticação multifator nas contas de publicação e nas plataformas de hospedagem reduz a facilidade com que um ator pode seqüestrar identidades para publicar novas edições maliciosas. Finalmente, para os responsáveis por plataformas e repositórios, a cooperação com serviços de segurança e a rápida retirada de pacotes confirmados como maliciosos são medidas críticas para limitar a difusão.
A constatação de campanhas como SANDWORM_MODE reafirma uma lição já conhecida mas insuficientemente aplicada: as cadeias de ferramentas modernas, incluindo as que incorporam assistentes e modelos de IA, ampliam a superfície de ataque e requerem uma combinação de higiene, vigilância técnica e cultura de segurança entre desenvolvedores. Pesquisas de Socket, JFrog, Veracode e Checkmarx oferecem mais detalhes técnicos e amostras de indicadores para quem deseja aprofundar; consultar ajuda a contextualizar e tomar decisões informadas no curto prazo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...