Pesquisadores de segurança cibernética identificaram um pacote malicioso no repositório npm chamado “os info checker es6” que se disfarça como utilitário de sistema mas serve para instalar cargas maliciosas em máquinas comprometidas. O pacote utiliza uma técnica sofisticada de esteganografia baseada em Unicode para esconder o código nocivo e emprega um link encurtado do Google Calendar como dropper dinâmico do estágio final do ataque. Publicado em 19 de março de 2025 por um usuário chamado “kim9123” o pacote já teve 2001 downloads. Outro pacote do mesmo autor chamado “skip tot” também está disponível e lista o “os info checker es6” como dependência.

Embora as cinco primeiras versões não apresentassem atividade maliciosa uma atualização enviada em 7 de maio incluiu código ofuscado no arquivo “preinstall.js” que usa caracteres de acesso privado Unicode para ocultar e extrair uma carga secundária. O código malicioso contata um link de evento do Google Calendar cujo título é uma string Base64 que ao ser decodificada aponta para um servidor remoto com o IP 140.82.54.223. Esse uso do Google Calendar dificulta a detecção pois o serviço atua como intermediário para mascarar a infraestrutura dos atacantes.

Até o momento nenhuma carga adicional foi entregue o que pode indicar que a campanha ainda está em desenvolvimento foi encerrada ou o servidor de comando e controle responde apenas a máquinas específicas. Três outros pacotes chamados “vue dev serverr” “vue dummyy” e “vue bit” também referenciam o “os info checker es6” como dependência sugerindo que fazem parte da mesma campanha. Segundo a Veracode trata-se de uma ameaça sofisticada e em evolução no ecossistema npm. Empresas como Veracode e Socket alertam para o aumento de técnicas como typoquatting execução em múltiplos estágios e abuso de ferramentas legítimas. Especialistas recomendam análise estática e dinâmica validação de dependências e monitoramento rigoroso em ambientes CI/CD.