Uma nova pesquisa da JFrog revelou uma campanha maliciosa envolvendo 148 pacotes npm que se disfarçaram como proxies web para estudantes. Durante cerca de duas semanas em maio, esses pacotes transformaram os navegadores dos visitantes em uma botnet de negação de serviço distribuída (DDoS). Os pacotes, com nomes como ‘charlie-kirk’ e ‘ilovefemboys’, permitiam que os estudantes contornassem filtros de conteúdo, mas carregavam um gerador de tráfego de ataque escondido. Ao abrir uma página, os usuários se tornavam involuntariamente parte do ataque, que não exigia instalação de scripts maliciosos. A pesquisa identificou dois módulos principais: um carregador de scripts remoto e um gerador de inundações WebSocket, ambos projetados para sobrecarregar servidores de proxy. A infraestrutura da campanha era facilmente rastreável, e os operadores, aparentemente jovens, deixaram pistas em seus códigos. Embora muitos pacotes tenham sido removidos do npm, a capacidade de rearmar o ataque permanece. Administradores de redes escolares e corporativas devem bloquear os domínios associados a essa campanha e limpar caches de navegador para mitigar riscos.
Fonte: https://thehackernews.com/2026/07/148-npm-packages-disguised-as-student.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
14/07/2026 • Risco: ALTO
ATAQUE
Campanha de pacotes npm transforma navegadores em botnets DDoS
RESUMO EXECUTIVO
A campanha de pacotes npm maliciosos representa uma ameaça significativa, transformando navegadores em botnets DDoS e potencialmente afetando a operação de instituições educacionais. A necessidade de ações rápidas de mitigação é crucial para evitar impactos financeiros e de conformidade.
💼 IMPACTO DE NEGÓCIO
Financeiro
Custos associados à interrupção de serviços e recuperação de sistemas.
Operacional
Transformação de navegadores em botnets DDoS, sobrecarregando servidores.
Setores vulneráveis
['Educação', 'Tecnologia da Informação', 'Serviços']
📊 INDICADORES CHAVE
148 pacotes npm envolvidos na campanha.
Indicador
Até 2 GB por segundo de tráfego gerado por mil abas abertas.
Contexto BR
Mais de 20.600 linhas de código recuperadas da aplicação maliciosa.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se pacotes npm maliciosos foram utilizados em ambientes de desenvolvimento.
2
Bloquear domínios associados à campanha no nível DNS.
3
Monitorar tráfego de rede para identificar atividades suspeitas relacionadas a DDoS.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas redes, especialmente em ambientes educacionais onde o uso de proxies é comum. A possibilidade de ataques DDoS pode comprometer a continuidade dos negócios.
⚖️ COMPLIANCE
Implicações na LGPD devido ao tratamento de dados de usuários sem consentimento.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).