Uma série de pacotes maliciosos nas plataformas npm e PyPi foi descoberta roubando uma ampla gama de dados sensíveis de desenvolvedores de software.

A campanha teve início em 12 de setembro de 2023 e foi primeiramente identificada pela empresa Sonatype. Segundo os pesquisadores, após uma breve pausa operacional em 16 e 17 de setembro, o ataque foi retomado e se expandiu para o ecossistema PyPi.

Desde o início da campanha, os invasores carregaram 45 pacotes maliciosos, sendo 40 no npm e 5 no PyPi. Variações no código indicam uma rápida evolução do ataque. Vários pacotes utilizaram “typosquatting” para se assemelhar a pacotes legítimos populares, enganando desenvolvedores a instalá-los.

Alguns exemplos incluem pacotes que imitam bibliotecas populares como “Shineout” e “APM”.  As primeiras ondas de ataques ocorreram entre 12 e 15 de setembro, com os atores de ameaças carregando novos conjuntos de pacotes diariamente, totalizando 33 pacotes.

As ondas de ataques posteriores ocorreram em 18, 20 e 24 de setembro. Inicialmente, os pacotes tinham rotinas de coleta e exfiltração de dados codificadas, o que os tornava suscetíveis à detecção.

Os usuários das plataformas de distribuição de código PyPi e npm são aconselhados a serem cautelosos com os pacotes que baixam e executam em seus sistemas, devido ao constante influxo de malware nesses ecossistemas.