Mais de 70 pacotes maliciosos foram descobertos nos repositórios do npm e do Visual Studio Code, sendo usados para roubar dados sensíveis e credenciais de carteiras de criptomoedas. No npm, ao menos 60 bibliotecas continham scripts que coletavam informações como nome do host, endereços IP, servidores DNS e diretórios de usuário. Essas informações eram enviadas para webhooks no Discord. Os pacotes estavam sob três contas diferentes, que já foram removidas da plataforma.

Os scripts eram executados durante a instalação e tinham mecanismos básicos para evitar detecção, abortando se identificassem ambientes virtuais de empresas conhecidas. A intenção era mapear redes e identificar alvos valiosos para futuras campanhas maliciosas. Além disso, outros oito pacotes se disfarçavam como bibliotecas para frameworks populares como React, Vue.js e Vite. Apesar da aparência legítima, carregavam cargas destrutivas: corrompiam arquivos, deletavam dados e comprometiam funções essenciais de JavaScript, além de manipular mecanismos de armazenamento do navegador. Um deles, o “js-bomb”, chegava a desligar o sistema com base no horário de execução.

Também foi descoberta uma campanha que combinava phishing por e-mail com código JavaScript malicioso incluído em pacotes npm. O ataque levava usuários a páginas falsas do Office 365 para roubo de credenciais, utilizando redirecionamentos, criptografia e bibliotecas hospedadas em redes de distribuição de conteúdo. No VS Code Marketplace, extensões maliciosas se passavam por ferramentas legítimas para desenvolvedores Solidity, mas escondiam códigos que roubavam carteiras de criptomoedas e capturavam dados do sistema, incluindo teclas digitadas e informações de aplicativos como Discord e navegadores. Algumas extensões também ativavam mineradores de criptomoeda disfarçados de utilitários de codificação ou IA.