Malware OtterCookie: hackers norte-coreanos usam 197 pacotes npm

Malware OtterCookie é a novidade por trás de 197 pacotes maliciosos que hackers norte-coreanos adicionaram recentemente ao repositório npm, atraindo mais de 31 mil downloads em poucas semanas.

Como o ataque foi organizado

Segundo a empresa de segurança Socket, os responsáveis — ligados à campanha Contagious Interview — publicaram as bibliotecas falsas logo após uma onda semelhante no mês passado. Cada pacote contém scripts de post-install em Node.js que baixam uma variante atualizada do OtterCookie. A nova versão combina funções já vistas no BeaverTail e em edições anteriores do próprio OtterCookie, formando um kit único para roubo de cookies e credenciais.

Ao instalar o pacote, o desenvolvedor executa automaticamente o código malicioso, que então estabelece contato com servidores de comando e controle mantidos pelos atacantes. A tática aproveita a confiança da comunidade em módulos de código aberto para espalhar o malware de forma silenciosa.

Riscos para desenvolvedores e empresas

Com mais de 31 mil downloads registrados, qualquer projeto que incluiu um dos 197 pacotes está potencialmente comprometido. Isso expõe tokens de autenticação, cookies de sessão e outros dados sensíveis, colocando em risco aplicativos Web e serviços internos. Casos semelhantes de contaminação de bibliotecas JavaScript em repositórios públicos já haviam sido destacados pela Wired, reforçando a necessidade de auditoria constante em dependências externas.

Para mitigar o problema, especialistas recomendam remover de imediato os pacotes listados pela Socket, revogar chaves expostas e monitorar qualquer atividade suspeita em contas afetadas.

A continuidade desses incidentes mostra como repositórios populares viraram alvos prioritários. Se você quer acompanhar outras análises sobre ataques a ecossistemas de código aberto, visite nossa editoria de Análise de Tecnologia e mantenha-se protegido.

Crédito da imagem: Thehackernews
Fonte: Thehackernews