Pesquisadores de cibersegurança identificaram pacotes maliciosos nos repositórios npm e Python Package Index (PyPI), projetados para roubar dados sensíveis e, em alguns casos, apagar informações de sistemas comprometidos. Esses pacotes foram desenvolvidos para enganar desenvolvedores e usuários, explorando nomes semelhantes a bibliotecas populares e comprometendo a segurança de máquinas e dados.

Entre os pacotes maliciosos identificados, destacam-se @async-mutex/mutex, dexscreener, solana-transaction-toolkit, solana-stable-web-huks, cschokidar-next, achokidar-next, achalk-next, csbchalk-next, cschalk e pycord-self. Essa estratégia reduz a probabilidade de detecção, pois o tráfego direcionado ao smtp.gmail.com é geralmente considerado legítimo por firewalls e sistemas de segurança. Os pacotes solana-transaction-toolkit e solana-stable-web-huks, além de roubar as chaves privadas, automatizam a transferência de até 98% dos fundos das carteiras para endereços controlados pelos atacantes. Enquanto isso, os pacotes são promovidos como ferramentas legítimas para usuários da Solana, mas seu verdadeiro objetivo é comprometer os ativos das vítimas.

A investigação revelou ainda que os criadores desses pacotes maliciosos também mantinham repositórios no GitHub, onde ofereciam scripts que supostamente eram ferramentas de desenvolvimento, mas, na verdade, importavam os pacotes nocivos. Outro conjunto de pacotes identificados no npm contém uma funcionalidade ainda mais destrutiva, incluindo um “kill switch” que apaga recursivamente arquivos de diretórios específicos do projeto. Além disso, o pacote pycord-self, voltado para desenvolvedores Python interessados em integrar APIs do Discord, rouba tokens de autenticação e conecta-se a servidores maliciosos, permitindo o controle persistente do sistema infectado.