⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram um novo pacote malicioso no registro npm que vem com recursos de roubo de informações.
De acordo com a OX Security, o pacote, denominado “mouse5212-super-formatter”, foi projetado para fazer upload de arquivos de “/mnt/user-data”, um diretório dedicado usado pela ferramenta de inteligência artificial (IA) Claude da Anthropic para lidar com uploads e saídas em segundo plano. A atividade recebeu o codinome Malware-Slop.
“Ao analisar o malware, verifica-se que o script se apresenta como um utilitário interno de ‘sincronização de implantação de arquivo’ que valida ou inicializa um repositório GitHub, captura um instantâneo leve de ‘status da rede’ e, em seguida, executa uma sincronização estruturada de arquivos do espaço de trabalho local em uma árvore de rastreamento remoto”, disseram os pesquisadores Moshe Siman Tov Bustan e Nir Zadok.
Na realidade, porém, ele se autentica no GitHub durante o estágio pós-instalação, usando um token de acesso do GitHub encontrado no ambiente da vítima ou um token codificado como substituto, verifica se existe um repositório de destino e, se não, cria-o e, em seguida, carrega recursivamente todos os arquivos para uma conta do GitHub controlada pelo agente da ameaça.
Os arquivos roubados são armazenados em pastas nomeadas aleatoriamente para ajudar o operador a distinguir entre diferentes sessões de roubo. O malware também grava um log falso de “conexões de rede” para dar a impressão de que está enviando informações de diagnóstico, enquanto obscurece seu verdadeiro comportamento operacional de coleta não autorizada e transferência remota de dados locais.
O pacote ainda está disponível para download no npm e estima-se que tenha sido baixado 676 vezes. No entanto, ainda não está claro quantos deles correspondem a instalações reais. A conta GitHub vinculada à campanha não está mais disponível, embora a OX tenha notado que ela foi criada em 26 de maio de 2026, poucas horas antes de a primeira versão maliciosa ser carregada no npm.
O que é notável sobre o pacote é que ele vazou detalhes da conta GitHub, incluindo seu token privado, levantando a possibilidade de que o ator da ameaça esteja usando IA para gerar malware, sem implementar as melhores práticas de segurança operacional básica (OPSEC).
“Agora que a barreira para a criação de código malicioso foi reduzida significativamente, veremos mais atores de ameaças entrando no jogo – enviando mais malwares desleixados, principalmente imitando grupos APT para obter uma fatia do bolo até que o npm comece a bloquear automaticamente o malware completamente”, disse OX Security.
De acordo com a OX Security, o pacote, denominado “mouse5212-super-formatter”, foi projetado para fazer upload de arquivos de “/mnt/user-data”, um diretório dedicado usado pela ferramenta de inteligência artificial (IA) Claude da Anthropic para lidar com uploads e saídas em segundo plano. A atividade recebeu o codinome Malware-Slop.
“Ao analisar o malware, verifica-se que o script se apresenta como um utilitário interno de ‘sincronização de implantação de arquivo’ que valida ou inicializa um repositório GitHub, captura um instantâneo leve de ‘status da rede’ e, em seguida, executa uma sincronização estruturada de arquivos do espaço de trabalho local em uma árvore de rastreamento remoto”, disseram os pesquisadores Moshe Siman Tov Bustan e Nir Zadok.
Na realidade, porém, ele se autentica no GitHub durante o estágio pós-instalação, usando um token de acesso do GitHub encontrado no ambiente da vítima ou um token codificado como substituto, verifica se existe um repositório de destino e, se não, cria-o e, em seguida, carrega recursivamente todos os arquivos para uma conta do GitHub controlada pelo agente da ameaça.
Os arquivos roubados são armazenados em pastas nomeadas aleatoriamente para ajudar o operador a distinguir entre diferentes sessões de roubo. O malware também grava um log falso de “conexões de rede” para dar a impressão de que está enviando informações de diagnóstico, enquanto obscurece seu verdadeiro comportamento operacional de coleta não autorizada e transferência remota de dados locais.
O pacote ainda está disponível para download no npm e estima-se que tenha sido baixado 676 vezes. No entanto, ainda não está claro quantos deles correspondem a instalações reais. A conta GitHub vinculada à campanha não está mais disponível, embora a OX tenha notado que ela foi criada em 26 de maio de 2026, poucas horas antes de a primeira versão maliciosa ser carregada no npm.
O que é notável sobre o pacote é que ele vazou detalhes da conta GitHub, incluindo seu token privado, levantando a possibilidade de que o ator da ameaça esteja usando IA para gerar malware, sem implementar as melhores práticas de segurança operacional básica (OPSEC).
“Agora que a barreira para a criação de código malicioso foi reduzida significativamente, veremos mais atores de ameaças entrando no jogo – enviando mais malwares desleixados, principalmente imitando grupos APT para obter uma fatia do bolo até que o npm comece a bloquear automaticamente o malware completamente”, disse OX Security.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pacote #npm #malicioso #roubou #arquivos #do #diretório #de #usuários #claude #ai #via #github
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário