A equipe de pesquisa de ameaças Socket identificou um sofisticado esquema de ofuscação em um pacote npm malicioso chamado fezbox (versão 1.3.0), publicado sob o alias ‘janedu’. Este pacote, que se apresenta como uma biblioteca utilitária de alto desempenho para JavaScript/TypeScript, esconde um payload em múltiplas camadas projetado para extrair credenciais de cookies do navegador. O ataque utiliza um QR code esteganográfico para embutir código executável, permitindo que o invasor evite análises tradicionais e envie valores de ‘username’ e ‘password’ para um servidor remoto. O fezbox exporta utilitários comuns e, em seu código minificado, contém uma função que ativa apenas em contextos de produção, após um atraso de 120 segundos. O QR code é utilizado para recuperar um script JavaScript que lê cookies específicos, ofuscando os nomes das propriedades e revertendo strings para acessar os valores de credenciais. Embora a maioria das aplicações modernas evitem armazenar credenciais em texto simples em cookies, a técnica inovadora de esteganografia baseada em QR destaca a necessidade de inspeção rigorosa de dependências. Os desenvolvedores devem estar atentos a carregadores dinâmicos inesperados e chamadas de rede pós-instalação.
Fonte: https://cyberpress.org/npm-package-qr-code-attack/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
23/09/2025 • Risco: ALTO
MALWARE
Ataque de QR Code Esteganográfico em Pacote npm Visa Senhas de Navegador
RESUMO EXECUTIVO
O ataque através do pacote npm fezbox representa uma ameaça significativa para desenvolvedores e empresas que utilizam bibliotecas de terceiros. A ofuscação e o uso de QR codes para esconder código malicioso exigem que os CISOs implementem medidas de segurança rigorosas e monitorem suas dependências de software.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao comprometimento de credenciais e dados de usuários.
Operacional
Extração de credenciais de usuários através de cookies do navegador.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
O pacote fezbox foi identificado como malware pelo Socket AI Scanner.
Indicador
O ataque utiliza um atraso de 120 segundos antes de executar o código malicioso.
Contexto BR
O código ofuscado utiliza strings revertidas para acessar valores de cookies.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o pacote fezbox está em uso e realizar uma auditoria de segurança.
2
Remover o pacote fezbox e substituir por alternativas seguras.
3
Monitorar continuamente as dependências de npm e implementar ferramentas de segurança para detectar comportamentos suspeitos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança da cadeia de suprimentos de software, especialmente com o uso crescente de pacotes npm que podem conter código malicioso.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
