sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Canetas emagrecedoras do Paraguai: Anvisa desmente equivalência com medicamentos registrados no Brasil
10 de julho de 2026
UE pede mudanças em Instagram e Facebook para reduzir vício nos apps
10 de julho de 2026
Assassin’s Creed Black Flag Resynced permite ter pets no navio! Saiba como obter os mascotes
10 de julho de 2026
IA de Elon Musk é processada por gerar imagens sexuais de menores de idade
10 de julho de 2026
sexta-feira, julho 10, 2026
Top Posts
Canetas emagrecedoras do Paraguai: Anvisa desmente equivalência com...
UE pede mudanças em Instagram e Facebook para...
Assassin’s Creed Black Flag Resynced permite ter pets...
IA de Elon Musk é processada por gerar...
Leapmotor B10 REEV é resposta a Song Pro...
Segunda temporada de Rancho Dutton terá um maior...
Instagram deixa qualquer pessoa usar seus posts para...
Dia da Saúde Ocular chama atenção para doenças...
OpenAI descontinua navegador com IA e lança ChatGPT...
Falha na rede de esgoto provoca rachaduras e...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Canetas emagrecedoras do Paraguai: Anvisa desmente equivalência com medicamentos registrados no Brasil
10 de julho de 2026
UE pede mudanças em Instagram e Facebook para reduzir vício nos apps
10 de julho de 2026
Assassin’s Creed Black Flag Resynced permite ter pets no navio! Saiba como obter os mascotes
10 de julho de 2026
IA de Elon Musk é processada por gerar imagens sexuais de menores de idade
10 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Canetas emagrecedoras do Paraguai: Anvisa desmente equivalência com medicamentos registrados no Brasil
10 de julho de 2026
UE pede mudanças em Instagram e Facebook para reduzir vício nos apps
10 de julho de 2026
Assassin’s Creed Black Flag Resynced permite ter pets no navio! Saiba como obter os mascotes
10 de julho de 2026
IA de Elon Musk é processada por gerar imagens sexuais de menores de idade
10 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Ciberataque em cadeia contra NPM rouba dinheiro e credenciais de usuários

por SampaNews 25 de maio de 2026
25 de maio de 2026
24

Uma campanha coordenada de ataque à cadeia de distribuição de software comprometeu simultaneamente três dos principais repositórios de pacotes do mundo. A operação, batizada de TrapDoor, espalhou mais de 34 pacotes maliciosos em mais de 384 versões distribuídas no npm, no PyPI e no Crates.io ao longo do fim de semana de 22 de maio de 2026. A descoberta é dos pesquisadores da empresa de segurança Socket.

Os pacotes foram projetados para parecer ferramentas legítimas de desenvolvimento. Nomes como wallet-security-checker, eth-security-auditor e defi-risk-scanner sugerem utilitários de segurança, mas na prática instalam malware no computador do desenvolvedor assim que são baixados.

smart_display

Nossos vídeos em destaque

O que é um ataque de supply chain

Um ataque de cadeia de suprimentos de software acontece quando um criminoso insere código malicioso em pacotes que desenvolvedores usam no dia a dia. Basicamente, em vez de invadir um sistema diretamente, o atacante contamina uma ferramenta que o desenvolvedor já confia e instala por conta própria. É o terceiro caso registrado na última semana, quando noticiamos campanhas ligadas ao TeamPCP, chamadas Mini Shai-Hulud e Shai-Hulud.

O repositório controlado pelo atacante continha o arquivo AUDIT-MATRIX.md, que descreve a arquitetura da campanha em duas fases: detecção de capacidades do ambiente da vítima e extração estratégica de credenciais, carteiras, tokens e dados de cloud. Imagem: Socket.

Neste caso mais recente, os pacotes fingiam ser auxiliares de projeto, ferramentas de auditoria de segurança e utilitários de ambiente de desenvolvimento. A estratégia funcionou porque os nomes escolhidos fazem sentido dentro do vocabulário de quem trabalha com criptomoedas, inteligência artificial ou contratos inteligentes.

O que o malware rouba

Assim que instalado, o código malicioso começa a vasculhar o computador da vítima. A lista do que o TrapDoor tenta coletar é extensa: 

  • chaves SSH;
  • carteiras das redes Sui;
  • Solana e Aptos, credenciais da AWS;
  • tokens do GitHub, dados de perfis de navegadores;
  • senhas salvas;
  • e variáveis de ambiente e chaves de API.

No caso dos pacotes npm, o malware roda um arquivo chamado trap-core.js, um script com mais de mil linhas que não só coleta as credenciais como também valida se elas ainda estão ativas, consultando as APIs da AWS e do GitHub. Isso permite que o atacante separe as credenciais úteis das que já expiraram.

trapdoor supply chain ataque (1).png
A mesma conta ddjidd564 infiltrou a comunidade do Gemini CLI promovendo pacotes npm maliciosos da campanha TrapDoor, entre eles env-security-scanner, wallet-security-checker e defi-env-auditor, apresentados como servidores MCP de segurança de código aberto. Imagem: Socket.

Como cada plataforma foi atacada de um jeito diferente

A campanha usou técnicas diferentes para cada ecossistema. No npm, os pacotes aproveitam os chamados hooks de pós-instalação: assim que o desenvolvedor instala o pacote, um script roda automaticamente em segundo plano, sem que ninguém perceba.

No PyPI, a abordagem é um pouco diferente. O malware entra em ação no momento em que a biblioteca é importada no código. Nesse ponto, ele baixa um payload JavaScript de um servidor externo controlado pelo atacante e o executa localmente. A vantagem para o criminoso é que ele pode atualizar o código malicioso sem precisar publicar uma nova versão do pacote.

Já no Crates.io, repositório de pacotes da linguagem Rust, os pacotes miraram desenvolvedores que trabalham com os projetos Sui e Move. Eles usam o arquivo build.rs, um script que o Rust executa automaticamente durante a compilação do código.

trapdoor supply chain ataque (2).png
O atacante usou a conta ddjidd564 para abrir issues em projetos de IA pedindo a instalação de pacotes maliciosos como env-security-scanner, disfarçados de ferramentas de auditoria de segurança com referência ao marcador P-2024-001 da campanha. Imagem: Socket.

Isso significa que o malware pode rodar antes mesmo de o desenvolvedor testar qualquer funcionalidade da biblioteca. Os dados coletados são criptografados e enviados para o GitHub Gists, um serviço legítimo de compartilhamento de código.

Instruções escondidas para enganar assistentes de IA

Um dos aspectos mais incomuns do TrapDoor é o uso de arquivos de configuração para manipular ferramentas de IA. Os pacotes criam arquivos como .cursorrules e CLAUDE.md dentro dos projetos das vítimas. Esses arquivos são usados por assistentes de programação baseados em inteligência artificial para entender as regras do projeto.

O que o atacante fez foi inserir instruções ocultas nesses arquivos usando caracteres Unicode invisíveis. O objetivo é fazer com que o assistente de IA, ao ler o projeto, execute uma suposta “auditoria de segurança” que na verdade coleta e envia informações sensíveis para o servidor do criminoso.

hacker-usando-celulares-e-notebook
Campanha TrapDoor distribuiu pacotes maliciosos em três repositórios simultâneos para roubar credenciais de desenvolvedores de criptomoedas e inteligência artificial.

Para ampliar o alcance dessa técnica, o mesmo responsável pela campanha abriu pull requests em repositórios populares de projetos de IA, como o LangChain, o LangFlow e o browser-use. Cada PR propunha adicionar um desses arquivos de configuração maliciosos ao projeto, disfarçado como documentação de boas práticas para desenvolvedores.

Como a Socket identificou a campanha

A Socket detectou os primeiros pacotes maliciosos em média 5 minutos e 56 segundos após a publicação. O pacote mais antigo registrado foi o eth-security-auditor, no PyPI, publicado às 20h20 UTC do dia 22 de maio.

A conexão entre os três ecossistemas só ficou clara durante a análise dos pacotes no Crates.io, quando a infraestrutura e o comportamento dos scripts mostraram sobreposição com os pacotes do npm e do PyPI. Todos os pacotes identificados foram classificados como maliciosos e reportados aos repositórios afetados.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Relatório da 6×1 prevê 40h semanais, transição de 14 meses e nenhuma redução salarial
próxima postagem
Beatriz Arcoverde, da EBC, vence categoria do Prêmio Mulheres Raras

Você também pode gostar

UE pede mudanças em Instagram e Facebook para...

10 de julho de 2026

Assassin’s Creed Black Flag Resynced permite ter pets...

10 de julho de 2026

IA de Elon Musk é processada por gerar...

10 de julho de 2026

Segunda temporada de Rancho Dutton terá um maior...

10 de julho de 2026

POSTS MAIS RECENTES

  • Canetas emagrecedoras do Paraguai: Anvisa desmente equivalência com medicamentos registrados no Brasil
  • UE pede mudanças em Instagram e Facebook para reduzir vício nos apps
  • Assassin’s Creed Black Flag Resynced permite ter pets no navio! Saiba como obter os mascotes
  • IA de Elon Musk é processada por gerar imagens sexuais de menores de idade
  • Leapmotor B10 REEV é resposta a Song Pro e EX5 EM-I e estará no Festival Interlagos

Siga-nos

  • Recente
  • Popular
  • Canetas emagrecedoras do Paraguai: Anvisa desmente equivalência com medicamentos registrados no Brasil

    10 de julho de 2026
  • UE pede mudanças em Instagram e Facebook para reduzir vício nos apps

    10 de julho de 2026
  • Assassin’s Creed Black Flag Resynced permite ter pets no navio! Saiba como obter os mascotes

    10 de julho de 2026
  • IA de Elon Musk é processada por gerar imagens sexuais de menores de idade

    10 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Segunda temporada de Rancho Dutton terá um maior...

10 de julho de 2026

Instagram deixa qualquer pessoa usar seus posts para...

10 de julho de 2026

Dia da Saúde Ocular chama atenção para doenças...

10 de julho de 2026

OpenAI descontinua navegador com IA e lança ChatGPT...

10 de julho de 2026

Falha na rede de esgoto provoca rachaduras e...

10 de julho de 2026

Leitura obrigatória

  • Canetas emagrecedoras do Paraguai: Anvisa desmente equivalência com medicamentos registrados no Brasil

    10 de julho de 2026
  • UE pede mudanças em Instagram e Facebook para reduzir vício nos apps

    10 de julho de 2026
  • Assassin’s Creed Black Flag Resynced permite ter pets no navio! Saiba como obter os mascotes

    10 de julho de 2026
  • IA de Elon Musk é processada por gerar imagens sexuais de menores de idade

    10 de julho de 2026
  • Leapmotor B10 REEV é resposta a Song Pro e EX5 EM-I e estará no Festival Interlagos

    10 de julho de 2026

Newsletter

Posts relacionados

  • UE pede mudanças em Instagram e Facebook para reduzir vício nos apps

    10 de julho de 2026
  • Assassin’s Creed Black Flag Resynced permite ter pets no navio! Saiba como obter os mascotes

    10 de julho de 2026
  • IA de Elon Musk é processada por gerar imagens sexuais de menores de idade

    10 de julho de 2026
  • Segunda temporada de Rancho Dutton terá um maior envolvimento de Taylor Sheridan

    10 de julho de 2026
  • Instagram deixa qualquer pessoa usar seus posts para gerar imagens por IA

    10 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026
WhatsApp libera reserva de nome de usuário; veja como esconder o número
1 de julho de 2026

Postagens Aleatórias

Lula defende aliança com a Índia sobre terras raras como ‘resposta ao unilateralismo’
21 de fevereiro de 2026
Trump se declara em perfeita saúde após exame físico
26 de maio de 2026
Uber é condenado a indenizar passageira em caso de estupro cometido por motorista
7 de fevereiro de 2026

Categorias Populares

  • Tecnologia (6.062)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.100)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.131)
  • Bragança Paulista (1.106)
  • Esporte (801)
  • Saúde (497)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home