Um backdoor do tipo stealer foi descoberto em três versões do pacote Node-IPC, direcionado a desenvolvedores para roubar segredos. As versões 1.0.0, 1.0.1 e 1.0.2 continham código malicioso que extraía chaves de API, tokens de acesso e variáveis de ambiente. O malware operava silenciosamente, enviando dados para um servidor remoto. Este incidente expõe a vulnerabilidade na cadeia de suprimentos de software.
Análise técnica do código malicioso 🔍
O código malicioso era ativado ao instalar o pacote, executando um script que coletava informações do sistema infectado. Utilizava funções do Node.js para ler variáveis de ambiente e arquivos de configuração, filtrando dados para um endpoint remoto. Os atacantes projetaram o stealer para ser sorrateiro, sem deixar vestígios evidentes nos logs. A comunidade de segurança recomenda auditar dependências e usar ferramentas de análise estática para detectar ameaças semelhantes no ecossistema npm.
O presente surpresa que ninguém pediu no seu projeto 🎁
Porque claro, o que todo desenvolvedor precisa é de um pacote que, além de gerenciar processos IPC, decida fazer de espião e levar seus tokens como lembrança. Node-IPC agora oferece funções premium: instalar e ter suas credenciais roubadas sem custo adicional. Se você queria se sentir como em um filme de hackers, já conseguiu. O bom é que pelo menos o pacote não apagou o disco rígido, então podemos chamar isso de um presente moderado.