Pacote malicioso no npm usa esteganografia com unicode e Google calendar como canal de comando

Pesquisadores de cibersegurança identificaram um pacote malicioso no repositório npm chamado "os-info-checker-es6", que se disfarça como uma biblioteca inofensiva para coleta de informações do sistema operacional. Na realidade, o pacote serve como vetor de ataque em múltiplas etapas, empregando técnicas sofisticadas de esteganografia com Unicode para ocultar código malicioso e utilizando eventos do Google Calendar como intermediários para comunicação com servidores controlados por hackers.

A descoberta foi feita pela empresa de segurança Veracode e divulgada. O pacote foi publicado no dia 19 de março de 2025 por um usuário identificado como “kim9123” e, até o momento, já foi baixado mais de 2 mil vezes. Curiosamente, o mesmo usuário também publicou outro pacote chamado "skip-tot", que lista “os-info-checker-es6” como dependência. Após algumas versões inofensivas, uma atualização feita em 7 de maio passou a incluir um arquivo preinstall.js com código ofuscado, capaz de interpretar caracteres Unicode da área de uso privado e extrair o payload da próxima etapa do ataque.

O código malicioso está programado para acessar um link encurtado do Google Calendar (por exemplo, calendar.app.google/<string>), onde o título do evento contém uma string codificada em Base64 que aponta para o endereço IP 140.82.54[.]223, controlado pelos hackers. Essa tática transforma o Google Calendar em uma espécie de servidor intermediário para resolução de endereços, dificultando a detecção e o bloqueio do ataque pelas defesas tradicionais. Embora nenhum payload adicional tenha sido identificado até agora, acredita-se que o servidor C2 pode estar programado para responder apenas a máquinas que atendam a critérios específicos — ou que a campanha esteja em fase inicial, inativa ou já encerrada.

A Veracode e a Aikido também observaram que três outros pacotes suspeitos estão vinculados à campanha: vue-dev-serverr, vue-dummyy e vue-bit, todos listando “os-info-checker-es6” como dependência. Segundo os especialistas, o comportamento do atacante sugere um avanço deliberado, indo de testes iniciais para uma execução em múltiplas etapas, o que reforça a sofisticação da ameaça.

A divulgação ocorre num momento em que a empresa de segurança Socket alerta sobre o aumento de técnicas como typoquatting, abuso de cache de repositórios Go, ofuscação, execução em várias fases, slopsquatting e o uso de serviços legítimos como vetores de ataque. Para se proteger, especialistas recomendam análise de comportamento de pacotes, validação rigorosa de dependências de terceiros, version pinning (uso de versões fixas), análise estática e dinâmica e inspeção minuciosa de logs de pipelines CI/CD.

Via - THN