Uma biblioteca JavaScript amplamente usada no repositório npm foi transformada em um vetor de ataque silencioso, explorando sistemas para roubo de dados sensíveis e mineração de criptomoedas. A biblioteca, chamada @0xengine/xmlrpc, inicialmente apresentada como uma ferramenta legítima para servidores e clientes XML-RPC no Node.js, recebeu uma atualização maliciosa apenas um dia após seu lançamento, em outubro de 2023.

A versão 1.3.4, publicada em 3 de outubro de 2023, introduziu um código malicioso capaz de coletar informações como chaves SSH, histórico de comandos bash, metadados do sistema e variáveis de ambiente. Essas informações eram exfiltradas a cada 12 horas para serviços como Dropbox e file.io. Até o momento, a biblioteca foi baixada 1.790 vezes e permanece disponível no repositório npm.

Além da instalação direta, o malware também se espalhou como dependência oculta em um repositório do GitHub chamado yawpp (“Yet Another WordPress Poster”). Esse projeto, que supostamente automatiza a criação de posts no WordPress, listava a versão maliciosa da biblioteca em seu arquivo “package.json”. Assim, qualquer usuário que configurasse o yawpp acabava instalando automaticamente o pacote comprometido.

Após ser implantado, o malware inicia uma série de ações maliciosas, incluindo a coleta de dados do sistema, a instalação do minerador de criptomoedas XMRig e o estabelecimento de persistência usando o systemd. Em análises recentes, pelo menos 68 sistemas foram identificados como parte de uma rede de mineração ativa para a criptomoeda Monero. Para evitar detecção, o malware monitora constantemente processos em execução e suspende operações de mineração se atividades do usuário forem detectadas.