Paquetes falsos norcoreanos roubam segredos no npm

04 de July de 2026 Publicado | Traducido del español

Um grupo de pacotes de software falsos, vinculados à Coreia do Norte, infiltrou-se na plataforma npm se passando por ferramentas legítimas. O objetivo era roubar segredos de desenvolvedores, como chaves de acesso e tokens. Para a cidadania, isso implica que aplicativos ou serviços que usamos diariamente podem ter sido comprometidos sem nosso conhecimento, expondo dados pessoais ou financeiros. A conclusão é clara: é preciso ficar alerta diante de atualizações suspeitas e confiar apenas em fontes verificadas.

cena de infiltração de pacote npm malicioso, estação de trabalho de desenvolvedor com terminal mostrando processo de instalação de pacote falso, janela do editor de código exibindo script Node.js suspeito com função oculta de exfiltração de token, visualização de tráfego de rede demonstrando dados sendo sugados para servidor externo, alertas vermelhos brilhantes em diagrama de árvore de dependências, visualização cinematográfica de segurança cibernética, interface escura com destaques neon de aviso, detalhes realistas de teclado e monitor, ilustração técnica fotorrealista, iluminação dramática de baixa intensidade enfatizando ameaça

Como o golpe operou no ecossistema npm 🛡️

Os atacantes publicaram pacotes com nomes semelhantes a bibliotecas conhecidas, como crossenv em vez de cross-env. Uma vez instalados, executavam scripts maliciosos que exfiltravam variáveis de ambiente, arquivos de configuração e credenciais de serviços em nuvem. A técnica, conhecida como typosquatting, explora a confiança dos desenvolvedores ao copiar nomes populares. O alcance é amplo: qualquer projeto que dependesse desses pacotes pode ter comprometido sua cadeia de suprimentos, afetando empresas e usuários finais que usam o software resultante.

A desculpa perfeita para não atualizar nada 😅

Agora, quando seu chefe pedir para você atualizar todas as dependências do projeto, você pode responder com cara séria: Prefiro não arriscar que um hacker norte-coreano roube o código da calculadora do escritório. Porque sim, acontece que até o pacote mais inocente pode ser uma armadilha. Então, já sabe: antes de fazer um npm install, verifique o nome duas vezes. Ou melhor, fique com a versão antiga que funciona. A preguiça tecnológica, finalmente, tem seu lado positivo.