Pesquisadores de cibersegurança identificaram uma campanha maliciosa sofisticada que explorava o repositório npm para distribuir malware por meio de esteganografia e serviços legítimos. O pacote principal, chamado “os info checker es6”, foi baixado mais de 2 mil vezes antes de ser retirado da plataforma. O código malicioso estava escondido no arquivo preinstall.js, usando caracteres Unicode privados para dificultar a detecção e análise por ferramentas automatizadas.

O pacote estabelecia contato com um servidor de comando e controle (C2) usando um truque engenhoso: o endpoint era codificado em Base64 no título de um evento do Google Calendar. Quando o script era executado, o malware baixava cargas adicionais e mantinha comunicação persistente com os atacantes. Além disso, outras bibliotecas publicadas pelo mesmo autor — como “skip tot” e “vue dev serverr” — faziam parte do mesmo ecossistema nocivo, revelando uma ação coordenada visando desenvolvedores e ambientes de integração contínua (CI/CD).

A campanha demonstra um uso criativo e perigoso de serviços amplamente confiáveis, como o Google Calendar, para mascarar atividades maliciosas. Especialistas alertam para a importância de auditar pacotes recém-publicados, especialmente os menos conhecidos, e reforçam o uso de ferramentas de análise estática e dinâmica nos pipelines de desenvolvimento. O caso reforça a vulnerabilidade da cadeia de suprimentos de software e a necessidade urgente de medidas mais rigorosas de segurança em ambientes de desenvolvimento.