### Detalhes do Ataque O ataque, descoberto em múltiplos pacotes da **Namastex Labs**, utiliza técnicas para roubo de credenciais, exfiltração de dados e auto-propagação. Embora existam semelhanças com os ataques CanisterWorm da **TeamPCP**, a atribuição definitiva permanece não confirmada. A **Socket** identificou 16 pacotes **Namastex** comprometidos, incluindo: * @automagik/genie (4.260421.33-4.260421.39) * pgserve (1.1.11–1.1.13) * @fairwords/websocket (1.0.38-1.0.39) * @fairwords/loopback-connector-es (1.4.3-1.4.4) * @openwebconcept/[email protected] * @openwebconcept/[email protected] Esses pacotes, utilizados em ferramentas de agente de IA e operações de banco de dados, sugerem um foco em alvos de alto valor. A natureza semelhante a um worm do ataque permite uma rápida disseminação sob as condições corretas. ### Exfiltração de Dados e Auto-Propagação O código malicioso visa coletar dados sensíveis, incluindo tokens, API keys, SSH keys, credenciais para serviços de nuvem, sistemas CI/CD, registries, plataformas LLM e configurações de Kubernetes/Docker. Ele também atinge dados sensíveis armazenados no **Chrome** e **Firefox**, incluindo carteiras de criptomoedas como **MetaMask**, **Exodus**, **Atomic Wallet** e **Phantom**. A **StepSecurity** descreve o malware como um "worm de cadeia de suprimentos" capaz de identificar tokens de publicação npm e injetar-se em outros pacotes que o token comprometido pode publicar, aprofundando a violação. Versões maliciosas de `pgserve` foram inicialmente publicadas em 21 de abril. Se tokens de publicação forem encontrados, o script identifica pacotes publicáveis, injeta o payload e os republica com números de versão incrementados, criando uma disseminação recursiva. Se credenciais **PyPI** forem encontradas, um método semelhante é aplicado a pacotes Python através de um payload baseado em `.pth`, tornando esta uma ameaça multi-ecossistema. ### Mitigação Desenvolvedores devem imediatamente tratar todas as versões de pacotes listadas como maliciosas, removendo-as de sistemas e pipelines CI/CD, e rotacionando todos os segredos potencialmente expostos. Tanto a **Socket** quanto a **StepSecurity** fornecem indicadores de comprometimento (IOCs) para auxiliar na identificação de ambientes comprometidos. Ações recomendadas incluem: * Remover pacotes afetados de sistemas de desenvolvimento e CI/CD. * Rotacionar todas as credenciais e dados secretos. * Pesquisar por espelhos de pacotes internos, artefatos e caches. A **Socket** também aconselha auditar pacotes relacionados que compartilham o mesmo arquivo `public.pem`, host de webhook ou padrão `postinstall`.