Malware se infiltra via npm

Pesquisadores de segurança descobriram um ataque sofisticado de supply chain no ecossistema npm que utilizou a plataforma de IA Hugging Face como infraestrutura para distribuir malware e roubar dados. O pacote malicioso js-logger-pack passou por 29 versões incrementais desde abril de 2026, transformando-se de uma biblioteca de logging inofensiva em um stealer multiplataforma e trojan de acesso remoto.

Os atacantes operavam sob os aliases whisdev e snipmaxi, e batizaram a ameaça de MicrosoftSystem64 para parecer um componente legítimo do Windows. O malware utiliza WebSockets para comunicação com o servidor de comando e controle hospedado no Hugging Face, o que dificulta a detecção.

Estratégia de ataque em etapas

A técnica seguiu um padrão de escalada gradual ao longo das versões:

  1. Versões 1-10: funcionalidade de logging real para atrair instalações legítimas
  2. Versões 11-20: inclusão de código ofuscado que baixa payloads adicionais do Hugging Face
  3. Versões 21-29: roubo de credenciais, cookies do navegador, carteiras de criptomoedas e chaves SSH

O Hugging Face foi abusado como CDN para hospedar os payloads, já que a plataforma é considerada confiável por muitas ferramentas de segurança corporativa. Isso demonstra uma tendência preocupante: atacantes estão abusando serviços legítimos de hospedagem de modelos de IA para camuflar tráfego malicioso e evadir detecção por parte de proxies e firewalls tradicionais.

A campanha do MicrosoftSystem64 é considerada uma das mais elaboradas de 2026 no segmento de ataques a supply chain de JavaScript, combinando engenharia social com abuso de infraestrutura confiável.

Risco para devs brasileiros

O ecossistema npm é utilizado por milhões de desenvolvedores no Brasil. A prática de instalar pacotes sem verificação manual é comum em equipes ágeis. Sob a LGPD, empresas que incorporam dependências comprometidas podem ser responsabilizadas se dados de clientes forem roubados por consequência do malware.

Empresas de tecnologia brasileiras que usam integração contínua (CI/CD) devem implementar verificações automatizadas de segurança em todas as dependências antes da inclusão em projetos de produção.

Proteção contra supply chain

  • Audite dependências: use npm audit e ferramentas como Snyk ou Socket.dev
  • Verifique o histórico: desconfie de bibliotecas com versões frequentes e mudanças bruscas de escopo
  • Bloqueie domínios não autorizados: configure firewalls para impedir conexões WebSocket a plataformas não usadas pelo time
  • Use lockfiles imutáveis: mantenha package-lock.json versionado e valide checksums

Fontes e referências

  1. JFrog Research – js-logger-pack turns Hugging Face into Malware CDN
  2. SafeDep – Malicious npm Package Ships Multi-Platform Stealer
  3. GBHackers – Malicious npm Package Hijacks Hugging Face