Pesquisadores de cibersegurança revelaram uma campanha ativa de worm na cadeia de suprimentos, denominada SANDWORM_MODE, que utiliza pelo menos 19 pacotes npm maliciosos para roubo de credenciais e chaves de criptomoedas. Os pacotes, publicados por dois aliases, contêm código malicioso que coleta informações do sistema, tokens de acesso e segredos de ambiente, além de se propagar por meio de identidades roubadas do npm e GitHub. A campanha inclui um módulo chamado ‘McpInject’, que visa assistentes de codificação baseados em IA, injetando um servidor de protocolo de contexto malicioso (MCP) em suas configurações. O malware também possui um mecanismo polimórfico para evitar detecções, sugerindo que os operadores pretendem lançar versões futuras. Os usuários que instalaram esses pacotes devem removê-los imediatamente, rotacionar tokens e revisar arquivos de configuração para alterações inesperadas. A situação é crítica, pois a campanha representa um alto risco de comprometimento ativo, exigindo atenção imediata dos profissionais de segurança da informação.
Fonte: https://thehackernews.com/2026/02/malicious-npm-packages-harvest-crypto.html
🚨BR DEFENSE CENTER: SECURITY BRIEFING
23/02/2026 • Risco: CRITICO
MALWARE
Campanha de worm na cadeia de suprimentos compromete pacotes npm
RESUMO EXECUTIVO
A campanha SANDWORM_MODE representa um risco significativo para desenvolvedores que utilizam npm e GitHub, com a possibilidade de roubo de credenciais e chaves de criptomoedas. A necessidade de ações imediatas para mitigar o impacto é evidente, especialmente em um cenário onde a conformidade com a LGPD pode ser comprometida.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de criptomoedas e comprometimento de sistemas.
Operacional
Roubo de credenciais e chaves de criptomoedas, potencial comprometimento de ambientes de desenvolvimento.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
19 pacotes npm maliciosos identificados.
Indicador
4 pacotes sleeper sem funcionalidades maliciosas.
Contexto BR
48 horas de atraso na ativação da segunda fase do ataque.
Urgência
⚡ AÇÕES IMEDIATAS
1
Remover pacotes npm maliciosos identificados.
2
Rotacionar tokens do npm e GitHub, além de revisar arquivos de configuração.
3
Monitorar continuamente alterações em pacotes e atividades suspeitas em ambientes de desenvolvimento.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com o potencial de comprometimento de ambientes de desenvolvimento e a possibilidade de roubo de dados sensíveis.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD no Brasil.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
