Atores Norte-Coreanos Implantam Pacotes NPM Maliciosos para Roubar Repositórios Git

O grupo Lazarus, o mais prolífico ator de ameaças ligado à Coreia do Norte, lançou uma nova campanha chamada SnugBit mirando desenvolvedores de software em múltiplas plataformas através de pacotes NPM maliciosos. ## A campanha SnugBit Os atacantes publicaram dezenas de pacotes NPM aparentemente legítimos no registro público do npm. Os pacotes imitavam bibliotecas populares de utilitários JavaScript, com nomes ligeiramente modificados (typosquatting) como: - node-string-utils (vs. string-utils) - react-native-bridge-helper (vs. react-native-bridge) - webpack-config-optimizer (vs. webpack) ## O que acontece após a instalação Uma vez instalado, o pacote executa código de inicialização que: 1. Coleta variáveis de ambiente, incluindo chaves de API e tokens 2. Busca arquivos .ssh na pasta home do usuário (chaves privadas SSH) 3. Localiza arquivos de configuração Git com credenciais armazenadas 4. Varre por arquivos .env em projetos locais 5. Envia tudo para servidores de exfiltração controlados pelos atacantes ## Por que desenvolvedores são alvos de alto valor? Desenvolvedores têm acesso a: - Repositórios com código-fonte proprietário - Pipelines de CI/CD que podem distribuir código para produção - Credenciais de cloud (AWS, Azure, GCP) - Bancos de dados e sistemas internos - Segredos de clientes Um único desenvolvedor comprometido pode ser o ponto de entrada para comprometer toda uma organização. ## Como se proteger - Verifique downloads de pacotes e reputação antes de instalar - Use lock files (package-lock.json) e verifique integridade com checksums - Implemente análise de segurança de dependências (npm audit, Snyk) - Revise código de pacotes novos antes de instalar em projetos críticos - Nunca armazene credenciais em variáveis de ambiente sem gerenciador de segredos